一般情況下,在對網(wǎng)站入侵成功后,入侵者為維持網(wǎng)站提權(quán),常見在網(wǎng)站中創(chuàng)建后門木馬文件或?qū)W(wǎng)站在用asp文件插入一句話木馬,其中如Access數(shù)據(jù)庫為防止被下載,網(wǎng)站部署時將.mdb后綴修改為asp,在網(wǎng)站被提權(quán)后則注入eval一句話木馬。
在使用安全軟件進(jìn)行掃描時,提示存在eval一句話,如D盾
可使用EmEditor打開access數(shù)據(jù)庫文件,選擇 以二進(jìn)制方式打開(ASCII視圖)。
查找eval,如下圖結(jié)果
在直接對eval一句話代碼進(jìn)行刪除的,Access數(shù)據(jù)庫管理軟件打開文件提示 "不可識別的數(shù)據(jù)庫格式無法識別"
解決方法
1.不刪除Eval一句話代碼,導(dǎo)出數(shù)據(jù)庫內(nèi)容,重建access數(shù)據(jù)庫
2.使用支持HEX編輯模式的十六進(jìn)制編輯器定位一句話代碼位置,再使用"00" 將其替換
參考:https://www.zhihu.com/question/55411293
具體操作如下
使用imhex 軟件打開 問題數(shù)據(jù)庫文件,搜索字符串 eval
替換選中的字符為 00
粵公網(wǎng)安備:44010402001679號
