宝塔面板eval防护及木马发现(thinkphp5.0.23)

背景:网站被挂马,并且被改动了index.php。导致显示的入口文件为挂马文件

1、查看被攻击的当天的访问日志。

 tail www.***-access_log

如图所示,我们看到日志的日期格式为[31/Jan/2019]

然后过滤到当天的查询日志,并保存文件

cat www.***-access_log | grep "30/Jan/2019" > /tmp/2019-01-30.log

2、打开下载的文件,因为Thinkphp5是不存在.php文件的执行,然后我们就可以在日志文件查询.php文件执行记录

根据截图我们可以看到很多木马文件,然后我们一个个去清理这些文件。

然后我们有个疑问?这些文件从哪里进来的?

带着这个文件我去查了一下原来有个ckplayer播放器,这个播放器带有flash。

攻击者是通过flash来把文件上传上来,然后我们就把这个入口也清掉。

3、下载并查

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值