宝塔面板eval防护及木马发现(thinkphp5.0.23)

最新推荐文章于 2025-05-31 11:26:04 发布
最新推荐文章于 2025-05-31 11:26:04 发布
阅读量5k 收藏 6
点赞数 2
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_39873598/article/details/86712894

背景:网站被挂马,并且被改动了index.php。导致显示的入口文件为挂马文件

1、查看被攻击的当天的访问日志。

 tail www.***-access_log

如图所示,我们看到日志的日期格式为[31/Jan/2019]

然后过滤到当天的查询日志,并保存文件

cat www.***-access_log | grep "30/Jan/2019" > /tmp/2019-01-30.log

2、打开下载的文件,因为Thinkphp5是不存在.php文件的执行,然后我们就可以在日志文件查询.php文件执行记录

根据截图我们可以看到很多木马文件,然后我们一个个去清理这些文件。

然后我们有个疑问?这些文件从哪里进来的?

带着这个文件我去查了一下原来有个ckplayer播放器,这个播放器带有flash。

攻击者是通过flash来把文件上传上来,然后我们就把这个入口也清掉。

3、下载并查

最低0.47元/天 解锁文章

200万优质内容无限畅学
itxiaoqCheng
关注
Thinkphp5.x反序列化漏洞复现
千寻的博客
12-07 3518
介绍 ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的。 最早诞生于2006年初,2007年元旦正式更名为ThinkPHP,并且遵循Apache2开源协议发布。 ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的。 影响版本 ThinkPHP 5.0.x (<=5.0.23) ThinkPHP5.x < (5.1.31) 实验环境 漏洞复现一(工具) 第一步 漏洞检测 第二步 执行命令 ..
Linux CentOS 宝塔中禁用php8.2的eval函数详细图文教程
php菜鸟技术天地
06-27 456
【代码】Linux CentOS 宝塔中禁用php8.2的eval函数详细图文教程。
php7.2/7.3宝塔禁用eval
qq_41101646的博客
03-02 942
eval方法不能在宝塔的PHP禁用函数中禁止宝塔的禁用函数修改的是PHP配置文件的disable_functions,但是这样改是无效的网上有说用suhosin的,但是这个不支持7.2,只支持到7.1我找了下,还有另外一个扩展也很好用,已经试过了,eval禁用成功GitHub - sjinks/php-disable-eval: Disable eval() and create_function() in PHP具体操作流程1.下载git包,上传到www/soft/,具体目录你可以自行决定2.解压git包
Thinkphp5.0.23-rce
最新发布
jiangzhen5566的博客
05-31 322
这块代码就是赋值,将他们赋值,filter = ['system'] ,method = ['get'] , server = ['REQUEST_METHOD' => 'whoami']开始时候$options[]数组为空,经过$this->input = file_get_contents('php://input');所以构造出来了call_user_func_array("system","whoami");最后的最后执行了命令。但是不知道为什么执行不了命令,应该是执行了,传马直接给杀了。
PHP版本安装Suhosin扩展禁用eval函数教程(宝塔面板)
Charles_n的博客
11-16 1313
PHP版本安装Suhosin扩展禁用eval函数教程(宝塔面板)
linux thinkphp5 php7.0禁用eval
qq_42740298的博客
09-18 700
eval是属于高危函数,本人很多个项目都是用tinkphp5写的,最近有个权重3的站点被挂了木马,导致网站直接被k,特别惨。排查发现是因为eval函数植入的文件,发现php配置里是禁用不了eval函数的,需要安装diseval。 网上查找了一圈,结合实际操作,整理出以下教程: 环境 php7.0 linux apache 2.4 压缩包 自己百度搜 网上去下载 PHP_diseval_extension-master 1.首先将压缩包上传解压到var下 unzip PHP_diseval_extensio
php中eval函数的危害与正确禁用方法
weixin_30872789的博客
06-29 731
转载地址:http://www.myhack58.com/Article/60/61/2014/50632.htmphp的eval函数并不是系统组件函数,因此我们在php.ini中使用disable_functions是无法禁止它的。但是eval()对于php安全来说具有很大的杀伤力,因此一般不用的情况下为了防止类似如下的一句话木马入侵,需要禁止!<?php eval($_POST[cmd]...
thinkphp 5.0.23 rce漏洞复现
ffff5的博客
05-19 815
thinkphp 5.0.23 rce漏洞复现 thinkphp介绍 thinkphp是一个快速、兼容而且简单的轻量级国产php开发框架,支持windows/Unix/linux等服务器环境,并且有相当多的CMS是在thinkphp基础上二次开发的。 环境搭建 使用vulhub搭建环境,过程不赘述。 漏洞复现 抓包并直接发送下面的流量包,即可利用漏洞进行远程代码执行 POST /index.php?s=captcha HTTP/1.1 Host: IP:PORT Accept-Encoding: gzip,
ThinkPHP5.0.23 远程代码执行漏洞
cyzCc的博客
02-15 5732
靶场地址【安鸾渗透实战平台】http://www.whalwl.cn:8031 提示:flag在服务器根目录 直接在kali里面搜索ThinkPHP5.0.23相关漏洞 发现了 Remote Code Execution(远程代码执行漏洞) 将该漏洞cp到tp.txt文件并查看 在最下面发现该版本payload (post)public/index.php?s=captcha (data) ...
复现ThinkPHP5 5.0.23远程代码执行漏洞 Thinkphp5 5.0.22/5.1.29远程代码执行漏洞
记录笔记
04-12 597
ThinkPHP5 5.0.23远程代码执行漏洞 http://159.75.16.25:8089/index.php?s=captcha会出现如下报错 F12进入开发者 用HackBar 插件发送 POST 请求 得到回显: 通过echo命令写入 Webshell 文件 首先将一句话木马进行 Base64 编码 _method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo -n YWE
宝塔面板怎么运行python_宝塔面板设置python3默认环境
weixin_35500243的博客
12-23 3985
使用宝塔面板搭建web环境并配置python3为默认python环境宝塔面板是一个可以通过Web端轻松管理服务器,提升运维效率的管理面板。它不仅可以方便的安装网站必须程序,而且可以创建管理网站、FTP、数据库,拥有可视化文件管理器,可视化CPU、内存、流量监控图表,计划任务等功能。因此搭建网站选用宝塔面板是非常方便的事情,但是一个服务器仅仅搭建一个小网站的话显得有点浪费,使用服务器跑些爬虫写点程序...
php的suhosin扩展安装suhosin-github主分支包
10-18
php安装suhosin扩展
Thinkphp绕过宝塔getshell
热门推荐
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
03-07 1万+
可以看到直接被拦了,经测试这里是敏感函数字符拦截,大部分有用的敏感函数都被拦了,这里面被拦的是phpinfo() Emmmm,怎么办呢。。。。。 直接执行代码不行,那么就写入代码吧,用file_put_contents()函数进行写入。 但这里又有一个问题,正常的写入由于请求参数中带有敏感字符一样会被拦,并且使用小马执行调用敏感函数的时候也会被拦 所以得配合点黑科技,使用特殊......
宝塔面板php cgi进程过多,php-fpm进程过多导致宝塔面板开机CPU占用100%
weixin_39654436的博客
03-10 2144
这篇文章主要为大家详细介绍了php-fpm进程过多导致宝塔面板开机CPU占用100%,具有一定的参考价值,感兴趣的小伙伴们可以参考一下,有需要的朋友可以收藏方便以后借鉴。昨天一个用户反馈他的宝塔面板负载和CPU全部100%,如下图所示:看到这种情况,织梦模板网小编首先推荐用户参看《Linux宝塔面板CPU占满100%,负载100%网站缓慢解决方法》一文尝试解决。但是用户还是无法解决。最后小编只能亲...
php拒绝式服务漏洞防御,高危!ThinkPHP5.0.x远程代码执行漏洞防御
weixin_31256683的博客
03-24 236
1月11日,ThinkPHP官方团队发布ThinkPHP5.0.24版本。本次更新修复了一个远程代码执行漏洞,建议更新!漏洞描述ThinkPHP在核心类Requests的method方法中实现了表单请求类型伪装,可以通过表单请求伪装变量实现对该类任意函数的调用,但是没有对该变量的属性进行严格校验,所以可以构造请求来实现对Request类属性值的覆盖,实现对任意函数的调用达到代码执行的效果。受影响范...
ThinkPHP框架漏洞总结
weixin_42345596的博客
08-25 4172
Thinkphp简介 ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的,是一个快速、兼容而且简单的轻量级国产PHP开发框架,诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP,遵循Apache2开源协议发布,从Struts结构移植过来并做了改进和完善,同时也借鉴了国外很多优秀的框架和模式,使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。 ThinkPHP可以支持windows/U
Linux CentOS 宝塔 Suhosin禁用php5.6版本eval函数详细图文教程
php菜鸟技术天地
06-27 657
这个方法make报错,懒得费时间处理,直接用第二种。
防止和修复php网站被挂木马宝塔
qq_40194668的博客
01-13 5676
防止和修复php网站被挂木马
宝塔php大马,分享宝塔网站防火墙使用帮助
weixin_39757122的博客
03-20 1002
下面由宝塔面板教程栏目给大家分享宝塔网站防火墙使用帮助,希望对需要的朋友有所帮助!推荐教程:《宝塔面板》Nginx防火墙建议使用Nginx 1.18 及其以上版本。兼容性更佳如果是小于1.18的版本 编译安装的兼容性也是OK的。建议低版本的Nginx 更新至Nginx1.18 或者Nginx 1.19简介:一直都有用户建议我们开发木马扫描,木马清理模块,但我们认为与其亡羊补牢,不如直接在源头上阻...
宝塔面板修复
03-15
### 宝塔面板常见故障及其解决方案 宝塔面板作为一款功能强大的服务器管理工具,在实际使用过程中可能会遇到一些常见的问题。以下是针对这些问题的具体分析和解决方法: #### 1. **无法正常访问宝塔面板** 如果发现无法通过浏览器访问宝塔面板,可能是由于防火墙设置不当或者服务未启动引起的。 - 防火墙设置检查:确保服务器上的防火墙允许宝塔面板默认端口(通常是8888)的流量通行[^2]。 ```bash sudo firewall-cmd --zone=public --add-port=8888/tcp --permanent sudo firewall-cmd --reload ``` - 检查宝塔服务状态并重启: ```bash bt restart ``` 如果命令不可用,则可能需要手动重新安装或更新宝塔面板版本[^1]。 --- #### 2. **数据库连接失败** 当网站运行时提示数据库连接错误,通常是因为MySQL/MariaDB服务异常停止或配置文件损坏。 - 启动MySQL服务: ```bash systemctl start mysqld ``` - 查看日志定位具体原因: ```bash tail -f /var/log/mysqld.log ``` - 若密码丢失可重置root账户密码: ```bash mysqladmin -u root password 'newpassword' ``` 上述操作能够有效恢复数据库的功能。 --- #### 3. **PHP环境崩溃** 某些情况下,PHP进程可能出现内存溢出或其他致命错误,导致站点无法加载页面。 - 更新PHP到最新稳定版以修复已知漏洞: ```bash yum update php* ``` - 调整php.ini中的参数优化性能,例如增加`memory_limit`值: ```ini memory_limit = 256M max_execution_time = 300 post_max_size = 100M upload_max_filesize = 100M ``` 完成修改后记得重启web服务使更改生效[^3]。 --- #### 4. **安全防护不足引发的一句话木马攻击** 一旦检测到存在恶意脚本上传至服务器目录下,需立即采取行动清除威胁并加强防御机制。 - 扫描全盘寻找可疑文件: ```bash find /www/wwwroot/yourdomain.com -name "*.php" | xargs grep eval\(\$ ``` - 删除确认无误后的危险代码片段,并启用宝塔内置的安全规则阻止非法请求[^4]。 最后建议定期备份重要数据以防万一发生意外删除事件。 --- ### 总结 以上列举了几种典型的宝塔面板相关问题以及对应的处理办法。对于更复杂的场景还需要结合实际情况深入排查根本原因所在。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值