Neeke

某个朋友在QQ上给我诉苦，他说自己的网站老被人挂马，他把发现的漏洞基本上都补上了，然后又把网站所在的目录全部杀了一边毒，但是过了几天又被挂马了。我问他是否服务器被人拿下了？他很肯定的说没有，我又问他确定网站中不存在免杀的后门了或者一句话后门？他也说肯定没有。
我检查了一下，结果确实像他说的那样。可是，不可能呀！那人有那么神，那么牛X？想来想去，突然想到网站根目录下的CERT目录我还没有检查，我问他是否检查了这个目录，他说那个放备案文件的，没在意。结果我打开一看，发现有个命名为CONN.ASP的文件，从命名来看是网站的数据库连接文件，可是谁会把这文件放到CERT下面呢？结果用记事本打开看到的就是一句话后门。o(╯□╰)o
CERT目录本来是用来放备案文件的，而且一般只放一个备案文件，我想大多数时候都不会有人去注意这个目录吧，估计从放了这个备案文件后几百年都不会有人去再看它第二眼了吧。

除非另有声明，本站遵循【署名-非商业性使用-相同方式共享 3.0 共享协议】授权。

转载原创文章请注明，转载自：Neeke[http://www.ineeke.com]

本文链接: http://www.ineeke.com/archives/BackdoorInCert/