前言
這次檢查并不是幫我,而是幫一位粉絲。當(dāng)時私聊我的時候我還挺高興的,至少得到了認(rèn)可。

這次文章我也征求了他的同意才發(fā)出來的。也請別說我侵犯他人隱私。

過程
早上醒來的時候就看到了消息,原本我只想要個源碼的,不過只有源碼沒有日志的話,也算一次不完整的檢查。為了追求完美,還是恬不知恥的要了寶塔賬戶密碼哈哈。一進去我就看到個更新消息,好家伙pma未鑒權(quán)漏洞還沒修復(fù),順手給更新了。

一共是三個站點,第一個使用fastadmin二開的,另外兩個是相同的不知名源碼。其他兩個站點相對于第一個來說不太重要,我就著重檢查了第一個。
本來思路是用工具掃加審計的。不過源碼備份下來500多m,下載速度也慢,幾十kb的跑。算了還是手工吧。是的你沒聽錯,我選擇了一個最笨的方法。

一共1752個文件,用時間排序。找到最開始安裝的日期,篩選下來還是有1000多個。沒辦法挨個看。順手找了個邏輯漏洞

幸運的是,發(fā)現(xiàn)了一個接口文件有問題,順手刪了。因為這個接口文件使用file_get_contents函數(shù)下載文件到本地保存在cache目錄。

還有個api.html文件,我想的是如果真是這個api.html文件有問題,那么上傳肯定是能getshell的。
經(jīng)過測試發(fā)現(xiàn)并不能,而且文件上傳也限制過。

確認(rèn)過安全后,接著回歸另外兩個網(wǎng)站。這兩個網(wǎng)站才是重災(zāi)區(qū)。




一共6個馬,分別在不同的地方,時間。碼子內(nèi)容也千奇百怪,都不相同。密碼也是。看到文件名字
木馬后門暫時改名待刪除
敏感的我知道,一定還有個改名程序。翻了20多分鐘才在App/Lib/model/index/里找到了它。

經(jīng)歷了差不多兩個多小時吧,人都看傻了,也希望各位多多自查。同時也感謝這位粉絲能夠認(rèn)可我。還有開發(fā)者們,真的沒必要在程序里放后門,買賣不成仁義在,你覺得呢?