杭州神话信息技术有限公司

标题: 天天团购貌似挂马了,根目录下多了几个文件 [打印本页]

作者: mmlong 时间: 2012-5-17 16:09:58 标题: 天天团购貌似挂马了,根目录下多了几个文件

之前的版本是V2.9.5 今天升级了V2.9.7 了在根目录下看到了几个不认识的文件，修改时间是2012-1-29号，
多的文件有：itsecteam_shell_cn.php 、nstview_post.php、qing.php、1.php
希望官方快点解决。
在itsecteam_shell_cn.php 有部分源码为:
<p align="center"><font face="Tahoma" style="font-size: 9pt"><span lang="en-us"><a href="?do=首页">首页</a> -- <a href="?do=filemanager&address='.getcwd().'">文件管理</a> -- <a href="?do=cmd&address='.getcwd().'">命令执行</a> -- <a href="?do=bc&address='.getcwd().'">反弹shell</a> --
<a href="?do=bypasscmd&address='.getcwd().'">BypasS 命令执行(SF-DF)</a> -- <a href="?do=symlink&address='.getcwd().'">Symlink</a> --
<a href="?do=bypassdir&address='.getcwd().'">绕过限制读文件</a> -- <a href="?do=eval&address='.getcwd().'">
PHP命令</a> -- <a href="?do=db&address='.getcwd().'">数据库操作</a> -- <a href="?do=加密转换&address='.getcwd().'">加密转换</a> -- <a href="?do=mail&address='.getcwd().'">邮件使者</a><a href="?do=info&address='.getcwd().'">
<br>服务器信息</a> -- <a href="?do=d0slocal&address='.getcwd().'">本机死机</a> -- <a href="?do=dump&address='.getcwd().'">备份数据库</a> -- <a href="?do=mass&address='.getcwd().'">批量挂马</a> -- <a href="?do=dlfile&address='.getcwd().'">下载文件</a> -- <a href="?do=dd0s&address='.getcwd().'">DDoS</a> -- <a href="?do=perm&address='.getcwd().'">查可写目录</a> -- <a href="?do=apache&address='.getcwd().'">Server</a> -- <a href="?do=remove&address='.getcwd().'">Remove Me</a> -- <a href="?do=about&address='.getcwd().'">About</a>

作者: Moyo 时间: 2012-5-17 16:45:50

官方升级包中未发现这几个文件

请检查是否是您服务器安全配置问题或者其他网站应用引起的入侵

作者: 湖州团购网 时间: 2012-5-21 19:02:07

这不叫挂马，这叫被日。。。看到了一个明显字眼“反弹shell",恭喜你被日了

欢迎光临杭州神话信息技术有限公司 (http://www.cenwor.com/)