V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
xlinux
V2EX  ›  问与答

兄弟们,服务器被入侵了,多了些文件,其中一个 360 直接报木马病毒了,另外一个不知是啥,有大佬有空研究下不?

  •  
  •   xlinux · 20 天前 · 1099 次点击

    文件 1 (木马病毒注意):链接: https://pan.baidu.com/s/1UPYh_kgCx8WFZZJ-cm7ctw?pwd=4r4u 提取码: 4r4u 复制这段内容后打开百度网盘手机 App ,操作更方便哦 --来自百度网盘超级会员 v5 的分享

    https://imgur.com/a/W1TFehN

    文件 2 (是一个 PHP 文件):链接: https://pan.baidu.com/s/1KACRedAlvIfsMHVQX6M5xQ?pwd=a7jm 提取码: a7jm 复制这段内容后打开百度网盘手机 App ,操作更方便哦 --来自百度网盘超级会员 v5 的分享

    https://imgur.com/uoOENtb

    6 条回复    2024-12-10 11:42:08 +08:00
    mumbler
        1
    mumbler  
       20 天前   ❤️ 2
    你直接传给 AI 大模型帮你分析可好,google ai studio 最近上的 gemini exp 1206 比 gpt4o 强,可以传 200 万 token 的文档,还免费
    luoyide2010
        2
    luoyide2010  
       20 天前   ❤️ 1
    可以传到 virustotal.com 上看看分析结果,php 混淆过,大概率也不是什么好东西了
    qwx
        3
    qwx  
       20 天前   ❤️ 1
    php 像是个命令执行,估计有漏洞被人传马了吧
    gqiuyuebai
        4
    gqiuyuebai  
       20 天前   ❤️ 1
    php 的 webshell
    V3geD4g
        5
    V3geD4g  
       20 天前   ❤️ 1
    png 图片你用 010 就能看到末尾是个一句话木马,不过是 asp 的版本,你服务器是 php 的话没什么用; php 代码是个混淆过的木马,密码是 POST 传递 admin ,调试了一下发现 payload 就是异或了一下而已,异或的 key 是 192023a7bbd7325 ,并且是放在了 session 里面,需要请求两次才能执行,第一次是放在 session 里面,第二次 cookie 带上 sessionid 就能触发了,例如执行 whoami ,发送的数据就是 POST:admin=QkBBRFdeSUAKDQVaWhsO
    daxin945
        6
    daxin945  
       20 天前   ❤️ 1
    把文件直接扔到微步的沙箱里吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1389 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 17:17 · PVG 01:17 · LAX 09:17 · JFK 12:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.