阿里云提示微擎被挂图片木马详解

阿里云提示:

然后 找到目录文件瞅一眼是个啥,打开还真是个图片。

阿里云提示微擎被挂图片木马详解_第1张图片

既然提示是木马,总的分析一下看看,exif_read_data函数读取 EXIF 头信息

阿里云提示微擎被挂图片木马详解_第2张图片

看下图片注释头信息:

阿里云提示微擎被挂图片木马详解_第3张图片

木马原形:

使用原理不做介绍了。

简单说下使用微擎的过程中存在的问题,因为这个马是微擎站挂上的。

我检查了微擎站点的,这个应该是我使用过程中粗心导致的,排查过程发现系统多了几个test111这类用户。而图片木马就是通过其中一个账户上传的,主要原因应该是开启了用户注册,然后注册用户设置为不需要审核,然后流氓通过注册用户来登陆后台,上传自己的图片木马。

用户可以通过 xxxx.com/web/index.php?c=user&a=registerset& 检查站点是否开启了用户注册。关掉用户注册功能即可

如果不放心可以xxxx.com/web/index.php?c=user&a=register检测是否开启了该功能。

提醒一下演示站最好做好权限管理。

 

 

你可能感兴趣的:(php笔记,微擎)