今天在某社区下载了一份源码,由于自己有严重的被害妄想症,所以遍历了源代码
果不其然,在某一个路径下的N张图片下发现了php后门木马
随后复制到vscode,慢慢解密
简单格式化后就是这个样子
经过大概四层解密后就是这个样子
这个代码干了什么?
上报网站域名信息然后安装了可道云程序,对,没错就是那个网盘程序
通过这个网盘可以看到你网站的所有文件,想想都可怕
信息上报到哪里了?
把第二行的代码通过base64解密后得到一个url链接
http://web.xxxxxxx.cn/api/cBw8PE&u=
如果执行了这个代码那么u参数就是你网站域名了
打开这个链接,提示no,估计是没带数据的原因
带上链接后,直接返回空白页,估摸着是成功入库了
至于我为什么说入库,接着往下看
访问一级域名跳转到一个网站
唔,打扰了
今天在某社区下载了一份源码,由于自己有严重的被害妄想症,所以遍历了源代码
果不其然,在某一个路径下的N张图片下发现了php后门木马
随后复制到vscode,慢慢解密
简单格式化后就是这个样子
经过大概四层解密后就是这个样子
这个代码干了什么?
上报网站域名信息然后安装了可道云程序,对,没错就是那个网盘程序
通过这个网盘可以看到你网站的所有文件,想想都可怕
信息上报到哪里了?
把第二行的代码通过base64解密后得到一个url链接
http://web.xxxxxxx.cn/api/cBw8PE&u=
如果执行了这个代码那么u参数就是你网站域名了
打开这个链接,提示no,估计是没带数据的原因
带上链接后,直接返回空白页,估摸着是成功入库了
至于我为什么说入库,接着往下看
访问一级域名跳转到一个网站
唔,打扰了