前言

這次檢查并不是幫我，而是幫一位粉絲。當(dāng)時(shí)私聊我的時(shí)候我還挺高興的，至少得到了認(rèn)可。

這次文章我也征求了他的同意才發(fā)出來(lái)的。也請(qǐng)別說(shuō)我侵犯他人隱私。

過(guò)程

早上醒來(lái)的時(shí)候就看到了消息，原本我只想要個(gè)源碼的，不過(guò)只有源碼沒(méi)有日志的話，也算一次不完整的檢查。為了追求完美，還是恬不知恥的要了寶塔賬戶密碼哈哈。一進(jìn)去我就看到個(gè)更新消息，好家伙pma未鑒權(quán)漏洞還沒(méi)修復(fù)，順手給更新了。

一共是三個(gè)站點(diǎn)，第一個(gè)使用fastadmin二開(kāi)的，另外兩個(gè)是相同的不知名源碼。其他兩個(gè)站點(diǎn)相對(duì)于第一個(gè)來(lái)說(shuō)不太重要，我就著重檢查了第一個(gè)。

本來(lái)思路是用工具掃加審計(jì)的。不過(guò)源碼備份下來(lái)500多m，下載速度也慢，幾十kb的跑。算了還是手工吧。是的你沒(méi)聽(tīng)錯(cuò)，我選擇了一個(gè)最笨的方法。

一共1752個(gè)文件，用時(shí)間排序。找到最開(kāi)始安裝的日期，篩選下來(lái)還是有1000多個(gè)。沒(méi)辦法挨個(gè)看。順手找了個(gè)邏輯漏洞

幸運(yùn)的是，發(fā)現(xiàn)了一個(gè)接口文件有問(wèn)題，順手刪了。因?yàn)檫@個(gè)接口文件使用file_get_contents函數(shù)下載文件到本地保存在cache目錄。

還有個(gè)api.html文件，我想的是如果真是這個(gè)api.html文件有問(wèn)題，那么上傳肯定是能getshell的。

經(jīng)過(guò)測(cè)試發(fā)現(xiàn)并不能，而且文件上傳也限制過(guò)。

確認(rèn)過(guò)安全后，接著回歸另外兩個(gè)網(wǎng)站。這兩個(gè)網(wǎng)站才是重災(zāi)區(qū)。

一共6個(gè)馬，分別在不同的地方，時(shí)間。碼子內(nèi)容也千奇百怪，都不相同。密碼也是。看到文件名字

木馬后門(mén)暫時(shí)改名待刪除

敏感的我知道，一定還有個(gè)改名程序。翻了20多分鐘才在App/Lib/model/index/里找到了它。

經(jīng)歷了差不多兩個(gè)多小時(shí)吧，人都看傻了，也希望各位多多自查。同時(shí)也感謝這位粉絲能夠認(rèn)可我。還有開(kāi)發(fā)者們，真的沒(méi)必要在程序里放后門(mén)，買(mǎi)賣(mài)不成仁義在，你覺(jué)得呢？