记录thinkPHP5.0被挂马后的处理

一、thinkPHP5.0爆出getshell漏洞

  • http://127.0.0.1/anquan/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php%20-r%20‘phpinfo();

二、通过升级thinkPHP版本到5.1.x之后就需要删除项目代码的挂马文件

三、寻找挂马文件

  • 以TP框架为例,首先查找public文件夹和themes文件夹有没有php文件,或者是一些特殊的php文件,有的话直接干掉就好
  • 建议重新用composer安装一个新版本的TP框架,然后把thinkphp目录和vendor替换你原来项目的这两个文件
  • 再去控制器(controller)或者模型(model)目录找一下特殊文件,一般都是加密过的代码
  • 最后使用工具D遁webshell来寻找项目中是否存在隐患后门文件,然后自行判断删除即可

D遁webshell工具转自52破解吧的htcperfect贴主

下载地址:

  百度网盘链接: https://pan.baidu.com/s/1nvTOKJJ 密码: neal

工具的使用(ps:暂时只能在本地使用,没有Linux版,线上的项目请自行拉到本地扫描):

1.选择项目目录

2.选中后会自动扫描,或者手动点击‘开始扫描‘按钮,就可以看到否是存在后面隐患文件

 

相关文章