如何通过网站日志查找网马
用户浏览了我们的网站都会留下痕迹,这些痕迹就保存到了网站日志中。时常翻看网站日志可以了解用户访问的内容,知道网站的动态,也可以对网站的安全性做出评估。
网站挂马后,首先看网站日志,可以拿挂马前一周或者一个月甚至两个月前的日志来进行分析。我们打开网站日志,找到可疑的请求与多出来的文件。
网站挂马后,首先看网站日志,可以拿挂马前一周或者一个月甚至两个月前的日志来进行分析。我们打开网站日志,找到可疑的请求与多出来的文件。
打开网站根目录,我们会看到命名为lion.php的文件,打开这个PHP文件,我们会看到黑客留下的前端代码。既然是黑客留下的,删除了吧。
打开网站根目录,我们会看到命名为lion.php的文件,打开这个PHP文件,我们会看到黑客留下的前端代码。既然是黑客留下的,删除了吧。
继续顺藤摸瓜,一点点往下走。在include/inc/目录下我们会看到fun.php这个文件。
打开fun.php这个文件,我们会发现里面包含logo.txt文档。
打开这个文件,我们会发现黑客留下的加密的代码。
看到这段加密的代码,我们就需要解密了,打开Thinkng.com网址,把logo.txt的后缀名改成.php,上传需要解密的PHP文件。
看到这段加密的代码,我们就需要解密了,打开Thinkng.com网址,把logo.txt的后缀名改成.php,上传需要解密的PHP文件。
解密后,我们会发现这是黑客用的工具。在阿帕奇环境下,运行上述代码,我们可以看到这个工具的真面目。既然会黑客用的工具,我们删除吧。
继续顺藤摸瓜,一步一步走下去,也许会有意想不到的收获。打开FTP,查看时间异常的PHP文件,我们会在可疑的文件夹下面发现几个可疑的文件,因为时间不一样。
闲言少叙,太多了大家都不爱看。在那些可疑的文件中,我发现一张图片很可疑,图片的名字叫LOGO1.png。
用记事本打开这个图片,我们也会发现黑客留下的加密的代码。
用第六步的方法解密这个文件,发现了一句SQL语句,把语句插入到了dede_mytag数据表中。我好奇地打开了数据表,吓了一跳,原来广告位挂马。
下面是dede_mytag数据表中的详细的挂马代码,虽然我也不懂其中的原理。但是让看到这篇经验的同仁少走弯路,我有义务把它贴出来。
版权声明:本站【趣百科】文章素材来源于网络或者用户投稿,未经许可不得用于商用,如转载保留本文链接:https://www.qubaik.com/answer/60501.html