全球主机交流论坛

标题: 昨天下载了个大佬分享的PTCMS开心版，里面有三个木马。 [打印本页]

作者: BQQ 时间: 2018-4-18 21:37
标题: 昨天下载了个大佬分享的PTCMS开心版，里面有三个木马。
http://www.sunk.eu.org/forum.php?mod=viewthread&tid=443648

昨天一直没时间弄，刚刚开始弄，扫了一下发现有三个文件不对。

这位大佬从淘宝买的，但淘宝店主不知道哪里弄的，而且很有可能就是淘宝店主放的马。

下载了并使用了的，注意一下：

\ptcms\library\yarclient.php
\ptcms\driver\view\mc.php
\ptcms\library\bae\BaeImageService.class.php

复制代码

其中第一个文件yarclient.php铁定是个后门，后面两个疑似后门。

有phper大佬帮忙检查一下这三个文件，再分享出来吧。

作者: guoshuang629 时间: 2018-4-18 21:42
感谢大佬告知！

作者: no45920 时间: 2018-4-18 21:45
谢谢大佬提醒，前排关注一下

作者: cmse 时间: 2018-4-18 21:46
广而告之。。。。。

作者: biubiu 时间: 2018-4-18 21:47
虽然不懂php，但是第一个的这个名字

yar->backyard->后庭->菊花->后门

作者: yokide 时间: 2018-4-18 21:47
是不是应该让，@我是人处理一下呢？

作者: 慕大夜 时间: 2018-4-18 21:47

我草不会吧，我找源码没有扫的习惯也不会，多谢提醒，我这就去255了，防止别的mjj上当，之前用了我分享的源码的mjj都查下！给大家道歉，不好意思！

作者: modianxia 时间: 2018-4-18 21:49
<?php
if (!class_exists('Yar_Client')) {
class Yar_client {

      protected $uri;

      /**
      * @param $uri
      */
      public function __construct($uri) {
         $this->uri = $uri;
      }

      public function __call($method, $params = array()) {
         $data = $this->pack($method, $params);
         if ($res = $this->exec($data)) {
            return $res;
         }
         exit('采集错误！方法' . $method . ' 参数：' . json_encode($params));
      }

      public function exec($data) {
         //执行最多5次，防止失败！
         for ($i = 1; $i < 5; $i++) {
            $content = http::post($this->uri, $data);
            if ($content) return $this->unpack($content);
         }
         return false;
      }

      /**
      * from Yar_Simple_Protocol
      *
      * @param $method
      * @param $params
      * @return array
      */
      public static function pack($method, $params) {
         $struct = array(
            'i' => time(),
            'm' => $method,
            'p' => $params,
         );
         $body = str_pad('PHP', 8, chr(0)) . serialize($struct);
         //transaction id
         $header = sprintf('%08x', mt_rand());
         //protocl version
         $header .= sprintf('%04x', 0);
         //magic_num, default is: 0x80DFEC60
         $header .= '80DFEC60';
         //reserved
         $header .= sprintf('%08x', 0);
         //reqeust from who
         $header .= sprintf('%064x', 0);
         //request token, used for authentication
         $header .= sprintf('%064x', 0);
         //request body len
         $header .= sprintf('%08x', strlen($body));
         $data = '';
         for ($i = 0; $i < strlen($header); $i = $i + 2)
            $data .= chr(hexdec('0x' . $header[$i] . $header[$i + 1]));
         $data .= $body;
         return $data;
      }

      /**
      * curl结果解析
      *
      * @param $con
      * @return mixed
      * @throws Exception
      */
      public static function unpack($con) {
         $ret = unserialize(substr($con, 82 + 8));
         if ($ret['s'] === 0) {
            return $ret['r'];
         } elseif (is_array($ret)) {
            throw new Exception($ret['e']);
         } else {
            return '';
            //throw new Exception('malformed response header');
         }
      }
}
}

作者: 慕大夜 时间: 2018-4-18 21:50

慕大夜发表于 2018-4-18 21:47
我草不会吧，我找源码没有扫的习惯也不会，多谢提醒，我这就去255了，防止别的mjj上当，之前用了我 ...

我想了下还是不255，这样没人看到了，我已经把网盘地址去掉了。

作者: 慕大夜 时间: 2018-4-18 21:54
大佬你是怎么查杀的？我不会这个，百度在线查杀，还下了个叫护卫神的查杀没查出

作者: honey 时间: 2018-4-18 21:58
多谢大佬告知后面的老哥们都注意一些吧

作者: 隔壁套路哥 时间: 2018-4-18 22:06
那个大佬有能力替换文件搞出来

作者: yidaomm 时间: 2018-4-18 22:06
怎么看出来是马啊~~

作者: ansley 时间: 2018-4-18 22:09
我也想知道怎么看出来是木马的

作者: ecosway598 时间: 2018-4-18 22:10
提示: 作者被禁止或删除内容自动屏蔽

作者: funders 时间: 2018-4-18 22:17

慕大夜发表于 2018-4-18 21:54
大佬你是怎么查杀的？我不会这个，百度在线查杀，还下了个叫护卫神的查杀没查出 ...

下次看到不错的源码先解压出来用D盾扫一下，基本可疑的东西都能扫出来，然后自己打开看一下
http://www.d99net.net/down/WebShellKill_V2.0.9.zip

作者: 慕大夜 时间: 2018-4-18 22:22

funders 发表于 2018-4-18 22:17
下次看到不错的源码先解压出来用D盾扫一下，基本可疑的东西都能扫出来，然后自己打开看一下
http://www ...

感谢大佬，涨了姿势！

作者: xianyunan 时间: 2018-4-18 23:14
感觉都是明文，没加密，我是菜鸟实在看不出问题

作者: Smart 时间: 2018-4-18 23:23

慕大夜发表于 2018-4-18 21:54
大佬你是怎么查杀的？我不会这个，百度在线查杀，还下了个叫护卫神的查杀没查出 ...

赶紧退款差评

作者: 慕大夜 时间: 2018-4-18 23:25

Smart 发表于 2018-4-18 23:23
赶紧退款差评

已申请退款！

作者: huayixin 时间: 2018-4-18 23:43

funders 发表于 2018-4-18 22:17
下次看到不错的源码先解压出来用D盾扫一下，基本可疑的东西都能扫出来，然后自己打开看一下
http://www ...

大佬用你推荐的软件扫描了下论坛下的 YGBOOK6.14最新破解版提示有7条.

作者: funders 时间: 2018-4-19 00:38

huayixin 发表于 2018-4-18 23:43
大佬用你推荐的软件扫描了下论坛下的 YGBOOK6.14最新破解版提示有7条.

有的危险函数也会列出来，具体得自己判断

作者: 翻车的老司机 时间: 2018-4-19 01:24
大佬用什么扫的可否告知一下

作者: namur 时间: 2018-4-19 01:30

modianxia 发表于 2018-4-18 21:49

哥们这是修复的还是原来的

作者: 158189458 时间: 2018-4-19 16:40
提示: 作者被禁止或删除内容自动屏蔽

作者: x41027a 时间: 2018-9-15 09:56
提示: 作者被禁止或删除内容自动屏蔽

作者: zaiwuaa 时间: 2018-9-15 23:43

作者: .com 时间: 2018-9-16 23:59

funders 发表于 2018-4-18 22:17
下次看到不错的源码先解压出来用D盾扫一下，基本可疑的东西都能扫出来，然后自己打开看一下
http://www ...

大佬火绒查杀怎样？

作者: hostloc666 时间: 2018-9-20 15:11
提示: 作者被禁止或删除内容自动屏蔽

欢迎光临全球主机交流论坛 (https://sunk.eu.org/)