文章目录
[+]
11月3号,根据黑灰经的客服反馈,一粉丝在购买程序时和开拓员发生了烦懑,担心程序被留了后门,让黑灰经的团队帮忙排查。
程序留后门这种事,习认为常。过去黑灰经碰着比较多的像文件调用、拼接,大小马,还有便是在htaccess文件上手脚。
远程利用扫描器帮他扫描了所有的文件,并未创造非常。但在排查数据库和日志时,验证了他的疑惑是对的,确实是被人留了后门,对方隐蔽了一个tag.php的木马文件,如图:
(图片来自网络侵删)
根据日志显示,对方是通过一个jp.php的文件来实现上传这个马,并且隐蔽的很深。
只管代码中限定了大小写、加字符串以及黑名单这些,但由于windows系统自动去掉不符合规则符号的特色,才给对方留了机会。
举个例子,比如黑灰经想上传heihuijing.php绕过限定,将heihuijing.php改成heihuijing.php.,上传到做事器时会被windows中会自动去掉‘.’,这种办法只适宜用在windows做事器中。
目前尚不清楚这套程序是一开始就已经留了后门,还是帮他搭建的技能员的精品。
根据黑灰经的追踪创造,他在网上找的技能员IP显示在安徽,通过深挖到邮箱、手机号以及第三方平台收录等信息来看,基本确认该开拓员在安徽某市,而获取到上传的IP地址却分布在多个地区。黑灰经并没有进一步做追踪,只是帮他删掉后门文件,并大略写了一个加固脚本上传到做事器。
搞网络项目,很难绕过程序。以是大家在淘项目程序时,只管即便不要找那种过于便宜、烂大街的,以免带来没必要的麻烦和丢失。
