作者mervynW (.)
看板PHP
标题Re: [请益] php 网站被植入密文 base64_decode
时间Tue Oct 4 16:33:27 2011
※ 引述《kidbaby (幸福的进行式)》之铭言:
: windows 7 旗舰版 + Appserv v2.5.10 架的
: 在www目录下被放置 .htaccess 跟 thumbs.db 两个档案 时间是 2011/8/9号上午12:04分
: 可是我上一次更动上面三个网站的东西 应该都在8/9之前
: 看样子不像是挂了什麽模组内藏了这两个档案被偷放
: 所以我完全不了解他什麽时候放的
: 我把这两个档案放出来 看看有没有高手能完全解译他...囧
没啥, 就放了
.htaccess 叫他所有php编译前去抓另一个 thumbs.db (被编过的php) 进来一起编
Thumbs.db 为啥会用这个档名, 很简单. Win 不会显示出来, 他是缩图档.
先说这方面我不是专业.
1. 这两个file是那个 User 放的.
Linux apache 的 user or group?
Win http 的行为(我不熟)
这边可以先判断, 你漏洞是不是php code.
2. 看 https log.
有试过, 多少都会有奇怪的log.
3. 扫一下你 server 有没有听怪怪的 port .
4. 看log... win 的 log (茶)
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 122.147.158.247
1F:推 kingoface:感谢大大讲解! 10/04 16:47
2F:→ kidbaby: port 应该没有 ASUS N16 档在前面 只开80port转 10/04 17:56
3F:→ kidbaby: apache log 已删除 = =" 10/04 20:26