网站入侵代码分析

8 sec read

昨天晚上发现的网站被入侵,具体入侵的途径现在还不知道,估计是服务器文件夹权限设置太高导致的。为了纪念下这次小小的被入侵,把入侵者的代码拿来研究下。

入侵者在服务器上某些文件的开始(如index.php) 的前面添加了如下代码:

以上代码通过base64解码以后为:

可以看到中间有出现了base64编码过的字符串,试着再这部分解码得到:

从中我们可以获取到一段被压缩混淆过的脚本,再试着把脚本再反编译下,得到:

令人无语的是这个脚本本身就是一个加密函数:

可与获得最终内容如下:

可以看到这个骇客做了4次的加密混淆工作最终的目的是在我的网站上iframe一个页面,具体这个iframe用来做什么的不得而知,目前发现的线上是在我的网站上弹广告。

花了一天把服务器上的代码全部删除重新上传了一遍,表面上把问题解决了,但是这到底是怎么入侵的还不知道,心中还是很不安啊。

真的是不知所措了,今天又被入侵了,这次除了添加了上述的代码,同时还留了个后门代码:

解码出来的内容为:

打赏作者
微信支付标点符 wechat qrcode
支付宝标点符 alipay qrcode

北大开源分词工具pkuseg

pkuseg简介 pkuseg是由北京大学语言计算与机器学习研究组研制推出的一套全新的中文分词工具包。pkus
1 min read

使用Python进行中文繁简转换

中文繁体、简体的差异,在NPL中类似英文中的大小写,但又比大小写更为复杂,比如同样为繁体字,大陆、香港和台湾又
1 min read

Python因子分解库:fastFM

FastFM简介 FastFM的主要特点是将是将因子分解封装成scikit-learn API接口,核心代码使
2 min read

发表评论

电子邮件地址不会被公开。 必填项已用*标注