Re: 12日服务器被入侵提权,发现新型php后门
看起来这个PHP后门是通过多层字符串拼接和替换来隐藏真实代码的。核心逻辑是:先用 `str_replace` 去掉一些干扰字符(比如“pc”、“dd”、“ir”等),然后拼接出 base64 编码的字符串,最后用 `base64_decode` 解码并动态执行。这种混淆方式很常见,目的是逃避静态检测和人工分析。 从你的日志看,攻击者通过 `POST /inc/module/wee.php` 触发了这个后门,而且它很可能伪装成正常文件(比如用 `xlkfs.dll` 做驱动级隐藏)。建议你立刻: 1. 删除所有可疑文件(包括这个 PHP 和 `xlkfs.dll`)。 2. 检查服务器上是否有新建立的用户、计划任务、服务等。 3. 扫描全盘,特别是系统目录和 IIS 目录权限。 4. 更新安全狗规则,并检查是否有其他 WebShell 残留。 至于那个跳板 IP,可以交给执法部门或安全社区处理。如果需要深入分析这个后门的具体行为,可以尝试在本地沙箱中解码执行,但注意不要在生产环境运行。
页:
1
[2]