8943 发表于 2022-4-12 16:42:09

整个服务器所有网站被挂马

本帖最后由 8943 于 2022-4-12 18:25 编辑

应该是用的wordpress的漏洞,删了2个小时。

生成的文件有index.php.radio.php,admin.php,还有其他几个,还有.htacess,在根目录,wp-content文件下还有个mu-plugins-old文件夹。然后基本每个文件夹下生成.htacess文件。没有wp-admin和wp-include的,就自动生成,伪装成wordpress正常文件。

用着wordpress程序的,index.php文件里面写上程序了,能正常访问,一般发现不了。没用wordpress程序的,把原来的index.php覆盖了,访问不了,要不还发现不了。


大家没事了查查源文件。
---------------------------------------
生成的htacess文件

<FilesMatch ".(py|exe|php)$">
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch "^(about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php|wp-l0gin.php|wp-theme.php|wp-scripts.php|wp-editor.php)$">
Order allow,deny
Allow from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ -
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php
</IfModule>-----------------------------------------
正常源码上面生成的字符




河小马 发表于 2022-4-13 09:47:11

这种其实只能重装

你不知道是哪里出了问题,删是删不干净的

sead 发表于 2022-4-12 18:04:32

8943 发表于 2022-4-12 17:06
用的bt面板,没开。
最早的文件我看是4月8号的,也就是没几天

如果碰到服务器版本有提权漏洞,内核提权了才头疼。
公布的提权漏洞还算好,可以查,要真查到版本符合,不要抱侥幸心理,可以换服务器了

ShinobuCR 发表于 2022-4-12 16:54:05

我这好像没有,挂防火墙插件了么

8943 发表于 2022-4-12 17:06:03

用的bt面板,没开。
最早的文件我看是4月8号的,也就是没几天

小龙虾 发表于 2022-4-12 17:08:02

上传文件目录检查,其他文件全新覆盖吧

sead 发表于 2022-4-12 17:49:38

防止0day的最硬方式,防火墙不是100%防止的
https://www.advertcn.com/thread-97475-1-1.html

老菜 发表于 2022-4-12 17:59:08

ShinobuCR 发表于 2022-4-12 16:54
我这好像没有,挂防火墙插件了么

一般挂哪个插件好点呢

sead 发表于 2022-4-12 17:59:25

8943 发表于 2022-4-12 17:06
用的bt面板,没开。
最早的文件我看是4月8号的,也就是没几天

正常情况下文件时间是可以修改的,如果权限比较大,想藏后门很容易

8943 发表于 2022-4-12 18:05:50

我把只要没流量的网站都删除了,剩下的网站也没几个wordpress程序了,过两天再看看还有没有。

以后还是少用wordpress把,用的话就自己i改一下,就几个页面,防止被黑。

8943 发表于 2022-4-12 18:11:40

sead 发表于 2022-4-12 17:59
正常情况下文件时间是可以修改的,如果权限比较大,想藏后门很容易

应该是最近的,我每天都要随机访问一下网站域名,有的网站首页是html的,就没问题,也就大意了。写进去的源代码,你不访问首页不生成文件,访问以后,在刷新,文件就变了,服务器内部就多了好多文件。首页是php的直接文件写源码进去,html的只是把其他文件生成了,但是不影响访问。

newcb 发表于 2022-4-12 18:17:23

是不是用了破解的主题?

8943 发表于 2022-4-12 18:26:24

newcb 发表于 2022-4-12 18:17
是不是用了破解的主题?

应该是没有,具体的也忘了,都是采集的,丢一个wordpress上去,基本都是默认模板,好多个版本的wordpress

枸夭 发表于 2022-4-12 21:42:25

我也被黑过一次,被挂上了日本的黑链,没用任何破解主题和插件。最后重装了

ShinobuCR 发表于 2022-4-12 23:23:53

老菜 发表于 2022-4-12 17:59
一般挂哪个插件好点呢

Wordfence 吧,我就挂免费版的 至少目前为止没出啥问题
之前没挂防火墙确实被入侵过
页: [1] 2
查看完整版本: 整个服务器所有网站被挂马