一般情況下,在對網站入侵成功后,入侵者為維持網站提權,常見在網站中創建后門木馬文件或對網站在用asp文件插入一句話木馬,其中如Access數據庫為防止被下載,網站部署時將.mdb后綴修改為asp,在網站被提權后則注入eval一句話木馬。
在使用安全軟件進行掃描時,提示存在eval一句話,如D盾
可使用EmEditor打開access數據庫文件,選擇 以二進制方式打開(ASCII視圖)。
查找eval,如下圖結果
在直接對eval一句話代碼進行刪除的,Access數據庫管理軟件打開文件提示 "不可識別的數據庫格式無法識別"
解決方法
1.不刪除Eval一句話代碼,導出數據庫內容,重建access數據庫
2.使用支持HEX編輯模式的十六進制編輯器定位一句話代碼位置,再使用"00" 將其替換
參考:https://www.zhihu.com/question/55411293
具體操作如下
使用imhex 軟件打開 問題數據庫文件,搜索字符串 eval
替換選中的字符為 00
粵公網安備:44010402001679號
