「屋漏偏逢连夜雨」


这个页面是对2025年年底博客主站服务器事故的一点总结。 本文的使用时间为2025.12.21~2025.12.28,现已失效。


恶意 PHP 后门文件
攻击者留下的部分入侵服务器代码,并伪造成政府官网页面。
该 PHP 文件可直接操作服务器执行命令、下载并执行任意文件。
已确认的恶意文件
四个已确认的恶意文件。目前已经确认服务器被恶意入侵且被挂若干病毒文件,该文件的作用远比想象中的严重。
MySQL.php 恶意后门
攻击者留下的多个 MySQL.php 文件。
该文件伪装成 MySQL 相关脚本,并通过混淆方式执行加密后的恶意命令,分布范围较广。

以下是攻击者在服务器上留的后门(YZVlYfiI.php),以下皆在本地Windows环境中运行测试。该页面伪装成政府官网页面,实际可在服务器执行任意命令,且该文件分布广泛。

扫描ip
扫描ip
执行数据库指令
执行数据库指令
看文件
看文件
代理
代理
不可名状的功能
我也不知道是啥了


不可名状的功能
不可名状的功能
某一时段服务器全天负载100%,被名为sYsTeMd和telnetd的奇葩进程高强度占用,且文件名为uhavenobotsxd。
大概可以确认为服务器被当作DDOS/僵尸网络节点使用了。

为避免进一步的损失,在一切完成前主服务器将关机封存,本页面仅作为静态页面托管于EdgeOne的Pages上。

关于被植入uhavenobotsxd病毒的研究报告: any.run|uhavenobotsxd报告

关于被植入YZVlYfiI.php的个人分析:
它是一个功能极其全面、危险性极高的PHP Web Shell。它能允许攻击者通过浏览器直接远程控制服务器,执行任意命令(他提供了一个基于Web界面的命令行环境,可以直接用php的system)、管理文件、反弹Shell/反向连接、安全扫描与探测、扫描系统信息、窃取数据库,并进一步渗透内网。
该文件经过复杂的混淆加密以及base64加密,好在破解密码还是很简单的。
后续可能会进一步研究一下这个东西。
目前未在公开的网络中找到关于这个程序的信息。不过在GitHub上有个类似功能的WebShell渗透测试工具github|AntSwordProject