最近,发现 VPS 下的某一个站点被挂马了,于是马上做了相应的安全措施。

同时,为了提高自己的姿势水平,就把那几个木马下载下来看了看。

不看不知道们一看,一看真奇妙

首先来看这个

这个倒是好分析,直接把 eval 那里即将执行的代码解码。

其实发现这个的起因还是因为我用了 oneapm,.

火狐截图_2015-10-31T06-03-58.765Z

这似乎是个在线代理,由于没有任何提交,自然没有什么代码在 eval 那执行。

然后我们来分析一下这个玩意的运行。

得到

za5c0

有点意思

然后继续看看另外一个相同类型的文件是什么结果。

f8960

然后继续

COOKIE 的大概也是这样

不过这个暂时没什么进展 之后再看

下面这个就好分析多了

解密之后