网站入侵代码分析

昨天晚上发现的网站被入侵,具体入侵的途径现在还不知道,估计是服务器文件夹权限设置太高导致的。为了纪念下这次小小的被入侵,把入侵者的代码拿来研究下。

入侵者在服务器上某些文件的开始(如index.php) 的前面添加了如下代码:

以上代码通过base64解码以后为:

可以看到中间有出现了base64编码过的字符串,试着再这部分解码得到:

从中我们可以获取到一段被压缩混淆过的脚本,再试着把脚本再反编译下,得到:

令人无语的是这个脚本本身就是一个加密函数:

可与获得最终内容如下:

可以看到这个骇客做了4次的加密混淆工作最终的目的是在我的网站上iframe一个页面,具体这个iframe用来做什么的不得而知,目前发现的线上是在我的网站上弹广告。

花了一天把服务器上的代码全部删除重新上传了一遍,表面上把问题解决了,但是这到底是怎么入侵的还不知道,心中还是很不安啊。

真的是不知所措了,今天又被入侵了,这次除了添加了上述的代码,同时还留了个后门代码:

解码出来的内容为:

微信支付标点符 wechat qrcode
支付宝标点符 alipay qrcode

使用Python检测符号及乱码字符

最近在进行关键词的分析,中间涉及到对一些特殊的字符进行过滤的需求。包括带符号的(有部分还是SQL注入),并且存

PHP版本升级记录(7.0到7.4)

服务器上原先安装的版本为PHP 7.0.33, WordPress后台建议安装的最小版本为7.3,所以打算直接

WordPress LaTeX插件更换记录

由于自己的博客要插入很多的公式,所以需要依赖LaTeX插件来帮忙实现。先前一直使用的是WP QuickLaTe

发表评论

电子邮件地址不会被公开。 必填项已用*标注