阿里云提示微擎被挂图片木马详解

阿里云提示：

然后 找到目录文件瞅一眼是个啥，打开还真是个图片。

既然提示是木马，总的分析一下看看，exif_read_data函数读取 EXIF 头信息

看下图片注释头信息：

木马原形：

使用原理不做介绍了。

简单说下使用微擎的过程中存在的问题，因为这个马是微擎站挂上的。

我检查了微擎站点的，这个应该是我使用过程中粗心导致的，排查过程发现系统多了几个test111这类用户。而图片木马就是通过其中一个账户上传的，主要原因应该是开启了用户注册，然后注册用户设置为不需要审核，然后流氓通过注册用户来登陆后台，上传自己的图片木马。

用户可以通过 xxxx.com/web/index.php?c=user&a=registerset& 检查站点是否开启了用户注册。关掉用户注册功能即可

如果不放心可以xxxx.com/web/index.php?c=user&a=register检测是否开启了该功能。

提醒一下演示站最好做好权限管理。