天在某社区下载了一份源码,由于自己有严重的被害妄想症,所以遍历了源代码
果不其然,在某一个路径下的N张图片下发现了php后门木马
abeim_2020-08-06_15-28-10.png

随后复制到vscode,慢慢解密
简单格式化后就是这个样子
abeim_2020-08-06_15-35-10.png
经过大概四层解密后就是这个样子
abeim_2020-08-06_15-38-00.png

这个代码干了什么?

上报网站域名信息然后安装了可道云程序,对,没错就是那个网盘程序
abeim_2020-08-06_15-45-03.png
通过这个网盘可以看到你网站的所有文件,想想都可怕

信息上报到哪里了?

把第二行的代码通过base64解密后得到一个url链接
http://web.xxxxxxx.cn/api/cBw8PE&u=
如果执行了这个代码那么u参数就是你网站域名了
打开这个链接,提示no,估计是没带数据的原因
带上链接后,直接返回空白页,估摸着是成功入库了
至于我为什么说入库,接着往下看

访问一级域名跳转到一个网站
abeim_2020-08-06_15-53-34.png
唔,打扰了

Last modification:October 10th, 2020 at 07:35 pm
如果觉得我的文章对你有用,请随意赞赏