前言

這次檢查并不是幫我，而是幫一位粉絲。當(dāng)時私聊我的時候我還挺高興的，至少得到了認(rèn)可。

這次文章我也征求了他的同意才發(fā)出來的。也請別說我侵犯他人隱私。

過程

早上醒來的時候就看到了消息，原本我只想要個源碼的，不過只有源碼沒有日志的話，也算一次不完整的檢查。為了追求完美，還是恬不知恥的要了寶塔賬戶密碼哈哈。一進去我就看到個更新消息，好家伙pma未鑒權(quán)漏洞還沒修復(fù)，順手給更新了。

一共是三個站點，第一個使用fastadmin二開的，另外兩個是相同的不知名源碼。其他兩個站點相對于第一個來說不太重要，我就著重檢查了第一個。

本來思路是用工具掃加審計的。不過源碼備份下來500多m，下載速度也慢，幾十kb的跑。算了還是手工吧。是的你沒聽錯，我選擇了一個最笨的方法。

一共1752個文件，用時間排序。找到最開始安裝的日期，篩選下來還是有1000多個。沒辦法挨個看。順手找了個邏輯漏洞

幸運的是，發(fā)現(xiàn)了一個接口文件有問題，順手刪了。因為這個接口文件使用file_get_contents函數(shù)下載文件到本地保存在cache目錄。

還有個api.html文件，我想的是如果真是這個api.html文件有問題，那么上傳肯定是能getshell的。

經(jīng)過測試發(fā)現(xiàn)并不能，而且文件上傳也限制過。

確認(rèn)過安全后，接著回歸另外兩個網(wǎng)站。這兩個網(wǎng)站才是重災(zāi)區(qū)。

一共6個馬，分別在不同的地方，時間。碼子內(nèi)容也千奇百怪，都不相同。密碼也是。看到文件名字

木馬后門暫時改名待刪除

敏感的我知道，一定還有個改名程序。翻了20多分鐘才在App/Lib/model/index/里找到了它。

經(jīng)歷了差不多兩個多小時吧，人都看傻了，也希望各位多多自查。同時也感謝這位粉絲能夠認(rèn)可我。還有開發(fā)者們，真的沒必要在程序里放后門，買賣不成仁義在，你覺得呢？