Loading... **今**天在某社区下载了一份源码,由于自己有严重的被害妄想症,所以遍历了源代码 果不其然,在某一个路径下的N张图片下发现了php后门木马 ![abeim_2020-08-06_15-28-10.png][1] 随后复制到vscode,慢慢解密 简单格式化后就是这个样子 ![abeim_2020-08-06_15-35-10.png][2] 经过大概四层解密后就是这个样子 ![abeim_2020-08-06_15-38-00.png][3] > 这个代码干了什么? 上报网站域名信息然后安装了可道云程序,对,没错就是那个网盘程序 ![abeim_2020-08-06_15-45-03.png][4] 通过这个网盘可以看到你网站的所有文件,想想都可怕 > 信息上报到哪里了? 把第二行的代码通过base64解密后得到一个url链接 **http://web.xxxxxxx.cn/api/cBw8PE&u=** 如果执行了这个代码那么u参数就是你网站域名了 打开这个链接,提示no,估计是没带数据的原因 带上链接后,直接返回空白页,估摸着是成功入库了 至于我为什么说入库,接着往下看 访问一级域名跳转到一个网站 ![abeim_2020-08-06_15-53-34.png][5] 唔,打扰了 [1]: https://life.abeim.cn/usr/uploads/2020/08/2292110393.png [2]: https://life.abeim.cn/usr/uploads/2020/08/72532779.png [3]: https://life.abeim.cn/usr/uploads/2020/08/715948811.png [4]: https://life.abeim.cn/usr/uploads/2020/08/2903721635.png [5]: https://life.abeim.cn/usr/uploads/2020/08/1157672290.png Last modification:October 10th, 2020 at 07:35 pm © 允许规范转载 Support 如果觉得我的文章对你有用,请随意赞赏 ×Close Appreciate the author Sweeping payments