thinkphp 5.0 index.php被替换成首页内容,被注入恶意代码

原TP项目是5.0.10,近日,在登录后台时,
域名/admin,跳转到网站首页。无法进入后台登录页面。
然后发现,public/index.php竟然被改了。

先升级到5.0.24。
还是被中枪。

后来领导查看了nginx日志。
日志在 /home/wwwlogs/域名.log

发现了某个上传图片的目录下,竟然有.php文件。

192.168.100.1 - - [06/Mar/2019:14:16:35 +0800] "POST /uploads/image/chinaword/2017/06/a60a38662b5ddcd5cfdf365ca97af24c.php HTTP/1.1" 200 3355 "http://域名/uploads/image/chinaword/2017/06/a60a38662b5ddcd5cfdf365ca97af24c.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.84 Safari/537.36"
192.168.100.1 - - [06/Mar/2019:14:16:36 +0800] "GET /comon.php HTTP/1.1" 200 827 "http://域名/uploads/image/chinaword/2017/06/a60a38662b5ddcd5cfdf365ca97af24c.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.84 Safari/537.36"
192.168.100.1 - - [06/Mar/2019:14:16:47 +0800] "GET /static/a_v1/images/music.mp3 HTTP/1.1" 206 1797277 "http://域名/index/special/index?sid=11&nid=1" "Mozilla/5.0 (Linux; Android 5.1; HUAWEI TIT-CL10 Build/HUAWEITIT-CL10; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/66.0.3359.126 MQQBrowser/6.2 TBS/044504 Mobile Safari/537.36 MMWEBID/6428 MicroMessenger/7.0.3.1400(0x2700033A) Process/tools NetType/4G Language/zh_CN"

然后删掉就好了。
在TP官网上,有许多相关话题。大家遇到的情况不一样。
http://www.thinkphp.cn/Search/
搜索:漏洞

原文地址:https://blog.51cto.com/phpervip/2361041

时间: 2024-08-06 11:06:47

thinkphp 5.0 index.php被替换成首页内容,被注入恶意代码的相关文章

数据库中将null 替换成 0 或者其他文本

Oracle:可以用nvl(p1,p2) 该函数,将p1替换成p2, 但是请注意:p1,p2必须是同类型的,可以是数值number ,char ,date 比如不能nvl('jack',5)这样用,一个是char一个是number了 简单明了:nvl(null,0) 就可以解决了. 这里要说明一下小tip:在oracle中 当组函数[又名聚合函数]要处理数据全是空的时候,除了count()函数返回的是0,其他组函数全部返回空值. 所以当我们处理聚合函数的时候,count()函数不用特殊考虑. S

[ jquery 文档处理 replaceWith(content|fn) replaceAll(content) ] 此方法用于把所有匹配的元素替换成指定的HTML或DOM元素

此方法用于把所有匹配的元素替换成指定的HTML或DOM元素 content(String, Element, jQuery, Function) 用于将匹配元素替换掉的内容.如果这里传递一个函数进来的话,函数返回值必须是HTML字符串. fn 返回THML字符串,用来替换的内容. 实例: <html lang='zh-cn'> <head> <title>Insert you title</title> <meta http-equiv='descri

静态资源文件自动压缩并替换成压缩版本(大型网站优化技术)

原文:静态资源文件自动压缩并替换成压缩版本(大型网站优化技术) 这一次,我总结和分享一项大型网站优化技术,那就是在项目中自动压缩静态资源文件(css.js),并让网站自动加载压缩后的资源文件.当然,这项技术在雅虎35条前端优化建议里也有记载,但它那只是给出一个理论的方案而已,并且采用的是外部压缩工具去压缩,而在我的项目中,是直接通过自己的程序自动化去压缩所有css.js文件,然后让页面直接加载所压缩后的资源,接下来直接进入主题. 本次实验使用的是PHP脚本语言,版本是PHP5.6,是在LINUX

thinkphp 5.0 模块设计

模块设计 5.0版本对模块的功能做了灵活设计,默认采用多模块的架构,并且支持单一模块设计,所有模块的命名空间均以app作为根命名空间(可配置更改). 目录结构 标准的应用和模块目录结构如下: ├─application 应用目录(可设置) │ ├─common 公共模块目录(可选) │ ├─common.php 公共函数文件 │ ├─route.php 路由配置文件 │ ├─database.php 数据库配置文件 │ ├─config.php 应用配置文件 │ ├─module1 模块1目录

thinkphp 5.0 lnmp环境下 无法访问,报错500(public目录)

两种方法: 1.修改fastcgi的配置文件 /usr/local/nginx/conf/fastcgi.conf fastcgi_param PHP_ADMIN_VALUE "open_basedir=$document_root/../:/tmp/:/proc/"; 2.这个时候需要在php.ini下面添加如下内容 注: xxx.abczn.com 替换成你对应的域名和目录 [HOST=xxx.abczn.com]open_basedir=/home/wwwroot/xxx.abc

ThinkPHP 5.0 配置

ThinkPHP 5.0 配置 目录 <!-- 系统默认的配置文件目录就是应用目录(APP_PATH), 也就是默认的application下面,并分为应用配置 (整个应用有效)和模块配置(仅针对该模块有效). --> ├─application 应用目录 │ ├─config.php 应用配置文件 │ ├─database.php 数据库配置文件 │ ├─route.php 路由配置文件 │ ├─index index模块配置文件目录 │ │ ├─config.php index模块配置文件

Ladon插件ThinkPHP 5.0.22 5.1.29 GetShell Exploit

前言 使用Exp生成器生成Ladon插件实战,ThinkPHP GetShell 漏洞环境 使用docker ThinkPHP 5.0.20 复现测试 Payload: http://192.168.1.37:8080/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1 执行命令 http://192.168.1.37:8080

javascript 回车替换成TAB

<head> <meta http-equiv="Content-Type" content="text/html; charset=gb2312"> </head> <script lang="javascript"> function check() { var name = document.getElementById("name").value; var passwor

请实现一个函数,把字符串中的每个空格替换成“%20”

请实现一个函数,把字符串中的每个空格替换成"%20".例如输入"we are happy.",则输出"we%20are%20happy." #include<stdio.h> #include<stdlib.h> #include<string.h> int main() { char arr[] = "we are happy"; int i = 0; int j = 0; int len