为客户解决网站漏洞。盖伊有一个CodeIgniter应用程序,我一开始以为它被重定向到了一个制药垃圾邮件网站。进一步的调查显示,在处理该网站的搜索功能后,该应用程序以某种方式创建了一个quickstart.dat文件,并将其放在服务器的顶级目录中,甚至不是webroot目录。
这个dat文件填充了确切的html,这导致网站呈现制药垃圾邮件。不幸的是,我对CodeIgniter应用程序的了解还不够,无法确定这是如何发生的。我已经查看了/application/controllers/search.php文件和/application/views/search.php文件,如果我正确解释CodeIgniter文档,这些文件是否负责处理URL中带有"搜索"的任何请求?
这两份文件中没有任何可疑之处。所以我开始清空整个目录,但仍然没有骰子。
有人能给我指正确的方向吗?我错过了什么?CodeIgniter的哪个部分将负责将dat文件放置在主目录中?
可能发生的事情太多了。我会尽量列出我对可能发生的事情的所有想法。
您可以尝试以下操作:
- 检查.htaccess文件是否包含任何内容
- 检查codeigniter中处理重定向的routes文件,该文件位于/application/config/routes.php,并检查其中是否有任何重定向
- 使用命令行搜索所有php文件并查找"base64_decode("
- 也许删除.dat文件
你也可以尝试搜索带有大散列字符串的文件,这些散列字符串通常用于混淆代码
find ./ -name "*.php" -type f -print0 | xargs -0 grep '[a-zA-Z0-9]'{400'}'