「屋漏偏逢连夜雨」


我是Mimosa。这里是我的博客。
由于近期服务器环境出现严重且恶劣的安全问题,为了彻底清理隐患、重建更稳定可靠的系统,我决定暂时关闭站点。

这并不是结束,而是一次必要的停顿。
在完成数据整理、服务器迁移、系统重装与安全加固之后,博客预计将在2026年1月上旬重新开放。

(⬆恢复时间先待定吧,最近好忙,博客的事情要鸽一会了)

如果你愿意,也可以到 web.archive.org 备份页面 看看博客过去的样子。

感谢你的来访、阅读与等待。
若你愿意,也请把这次沉默,当作一次蓄力。

这不是结束。请等着我。



恶意 PHP 后门文件
攻击者留下的部分入侵服务器代码,并伪造成政府官网页面。
该 PHP 文件可直接操作服务器执行命令、下载并执行任意文件。
已确认的恶意文件
四个已确认的恶意文件。目前已经确认服务器被恶意入侵且被挂若干病毒文件,该文件的作用远比想象中的严重。
MySQL.php 恶意后门
攻击者留下的多个 MySQL.php 文件。
该文件伪装成 MySQL 相关脚本,并通过混淆方式执行加密后的恶意命令,分布范围较广。

以下是攻击者在服务器上留的后门(YZVlYfiI.php),以下皆在本地Windows环境中运行测试。该页面伪装成政府官网页面,实际可在服务器执行任意命令,且该文件分布广泛。

扫描ip
扫描ip
执行数据库指令
执行数据库指令
看文件
看文件
代理
代理
不可名状的功能
我也不知道是啥了


不可名状的功能
不可名状的功能
某一时段服务器全天负载100%,被名为sYsTeMd和telnetd的奇葩进程高强度占用,且文件名为uhavenobotsxd。
大概可以确认为服务器被当作DDOS/僵尸网络节点使用了。

为避免进一步的损失,在一切完成前主服务器将关机封存,本页面仅作为静态页面托管于EdgeOne的Pages上。

关于被植入uhavenobotsxd病毒的研究报告: any.run|uhavenobotsxd报告

关于被植入YZVlYfiI.php的个人分析:
它是一个功能极其全面、危险性极高的PHP Web Shell。它能允许攻击者通过浏览器直接远程控制服务器,执行任意命令(他提供了一个基于Web界面的命令行环境,可以直接用php的system)、管理文件、反弹Shell/反向连接、安全扫描与探测、扫描系统信息、窃取数据库,并进一步渗透内网。
该文件经过复杂的混淆加密以及base64加密,好在破解密码还是很简单的。
后续可能会进一步研究一下这个东西。
目前未在公开的网络中找到关于这个程序的信息。不过在GitHub上有个类似功能的WebShell渗透测试工具github|AntSwordProject