整个服务器所有网站被挂马
本帖最后由 8943 于 2022-4-12 18:25 编辑应该是用的wordpress的漏洞,删了2个小时。
生成的文件有index.php.radio.php,admin.php,还有其他几个,还有.htacess,在根目录,wp-content文件下还有个mu-plugins-old文件夹。然后基本每个文件夹下生成.htacess文件。没有wp-admin和wp-include的,就自动生成,伪装成wordpress正常文件。
用着wordpress程序的,index.php文件里面写上程序了,能正常访问,一般发现不了。没用wordpress程序的,把原来的index.php覆盖了,访问不了,要不还发现不了。
大家没事了查查源文件。
---------------------------------------
生成的htacess文件
<FilesMatch ".(py|exe|php)$">
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch "^(about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php|wp-l0gin.php|wp-theme.php|wp-scripts.php|wp-editor.php)$">
Order allow,deny
Allow from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ -
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php
</IfModule>-----------------------------------------
正常源码上面生成的字符
这种其实只能重装
你不知道是哪里出了问题,删是删不干净的 8943 发表于 2022-4-12 17:06
用的bt面板,没开。
最早的文件我看是4月8号的,也就是没几天
如果碰到服务器版本有提权漏洞,内核提权了才头疼。
公布的提权漏洞还算好,可以查,要真查到版本符合,不要抱侥幸心理,可以换服务器了 我这好像没有,挂防火墙插件了么 用的bt面板,没开。
最早的文件我看是4月8号的,也就是没几天
上传文件目录检查,其他文件全新覆盖吧 防止0day的最硬方式,防火墙不是100%防止的
https://www.advertcn.com/thread-97475-1-1.html ShinobuCR 发表于 2022-4-12 16:54
我这好像没有,挂防火墙插件了么
一般挂哪个插件好点呢 8943 发表于 2022-4-12 17:06
用的bt面板,没开。
最早的文件我看是4月8号的,也就是没几天
正常情况下文件时间是可以修改的,如果权限比较大,想藏后门很容易 我把只要没流量的网站都删除了,剩下的网站也没几个wordpress程序了,过两天再看看还有没有。
以后还是少用wordpress把,用的话就自己i改一下,就几个页面,防止被黑。
sead 发表于 2022-4-12 17:59
正常情况下文件时间是可以修改的,如果权限比较大,想藏后门很容易
应该是最近的,我每天都要随机访问一下网站域名,有的网站首页是html的,就没问题,也就大意了。写进去的源代码,你不访问首页不生成文件,访问以后,在刷新,文件就变了,服务器内部就多了好多文件。首页是php的直接文件写源码进去,html的只是把其他文件生成了,但是不影响访问。 是不是用了破解的主题? newcb 发表于 2022-4-12 18:17
是不是用了破解的主题?
应该是没有,具体的也忘了,都是采集的,丢一个wordpress上去,基本都是默认模板,好多个版本的wordpress 我也被黑过一次,被挂上了日本的黑链,没用任何破解主题和插件。最后重装了 老菜 发表于 2022-4-12 17:59
一般挂哪个插件好点呢
Wordfence 吧,我就挂免费版的 至少目前为止没出啥问题
之前没挂防火墙确实被入侵过
页:
[1]
2
