整个服务器所有网站被挂马

8943 · 发表于 2022-4-12 16:42:09

本帖最后由 8943 于 2022-4-12 18:25 编辑

应该是用的wordpress的漏洞，删了2个小时。

生成的文件有index.php.radio.php,admin.php,还有其他几个，还有.htacess，在根目录，wp-content文件下还有个mu-plugins-old文件夹。然后基本每个文件夹下生成.htacess文件。没有wp-admin和wp-include的，就自动生成，伪装成wordpress正常文件。

用着wordpress程序的，index.php文件里面写上程序了，能正常访问，一般发现不了。没用wordpress程序的，把原来的index.php覆盖了，访问不了，要不还发现不了。

大家没事了查查源文件。
---------------------------------------
生成的htacess文件

<FilesMatch ".(py|exe|php)$">
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch "^(about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php|wp-l0gin.php|wp-theme.php|wp-scripts.php|wp-editor.php)$">
Order allow,deny
Allow from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>-----------------------------------------
正常源码上面生成的字符

河小马 · 发表于 2022-4-13 09:47:11

这种其实只能重装

你不知道是哪里出了问题，删是删不干净的

sead · 发表于 2022-4-12 18:04:32

8943 发表于 2022-4-12 17:06. C' x3 l4 e% r% w+ O' P, L% \
用的bt面板，没开。3 h% O5 t( x/ U4 e) p$ u
最早的文件我看是4月8号的，也就是没几天

如果碰到服务器版本有提权漏洞，内核提权了才头疼。
公布的提权漏洞还算好，可以查，要真查到版本符合，不要抱侥幸心理，可以换服务器了

ShinobuCR · 发表于 2022-4-12 16:54:05

我这好像没有，挂防火墙插件了么

8943 · 发表于 2022-4-12 17:06:03

用的bt面板，没开。
最早的文件我看是4月8号的，也就是没几天

小龙虾 · 发表于 2022-4-12 17:08:02

上传文件目录检查，其他文件全新覆盖吧

sead · 发表于 2022-4-12 17:49:38

防止0day的最硬方式，防火墙不是100%防止的
https://www.advertcn.com/thread-97475-1-1.html

老菜 · 发表于 2022-4-12 17:59:08

ShinobuCR 发表于 2022-4-12 16:54
5 z6 P5 o3 q, n6 y7 r我这好像没有，挂防火墙插件了么

一般挂哪个插件好点呢

sead · 发表于 2022-4-12 17:59:25

8943 发表于 2022-4-12 17:066 @5 J4 o( O. |& a' z9 o" q
用的bt面板，没开。/ G- G3 ^ F0 d. V2 U
最早的文件我看是4月8号的，也就是没几天

正常情况下文件时间是可以修改的，如果权限比较大，想藏后门很容易

8943 · 发表于 2022-4-12 18:05:50

我把只要没流量的网站都删除了，剩下的网站也没几个wordpress程序了，过两天再看看还有没有。

以后还是少用wordpress把，用的话就自己i改一下，就几个页面，防止被黑。

8943 · 发表于 2022-4-12 18:11:40

sead 发表于 2022-4-12 17:59 j. g! j1 u/ w) q
正常情况下文件时间是可以修改的，如果权限比较大，想藏后门很容易

应该是最近的，我每天都要随机访问一下网站域名，有的网站首页是html的，就没问题，也就大意了。写进去的源代码，你不访问首页不生成文件，访问以后，在刷新，文件就变了，服务器内部就多了好多文件。首页是php的直接文件写源码进去，html的只是把其他文件生成了，但是不影响访问。

newcb · 发表于 2022-4-12 18:17:23

是不是用了破解的主题？

8943 · 发表于 2022-4-12 18:26:24

newcb 发表于 2022-4-12 18:17
6 ?+ z0 d) `9 A+ f# i2 \( u) L是不是用了破解的主题？

应该是没有，具体的也忘了，都是采集的，丢一个wordpress上去，基本都是默认模板，好多个版本的wordpress

枸夭 · 发表于 2022-4-12 21:42:25

我也被黑过一次，被挂上了日本的黑链，没用任何破解主题和插件。最后重装了

ShinobuCR · 发表于 2022-4-12 23:23:53

老菜发表于 2022-4-12 17:59
3 Z$ k5 ~: ?" u4 b- i- t6 C一般挂哪个插件好点呢

Wordfence 吧，我就挂免费版的至少目前为止没出啥问题
之前没挂防火墙确实被入侵过

		自动登录	找回密码
密码			立即注册

谷歌+Bing+TT+MSN官方代理	⚡️按条S5代理⚡️静态⚡️独享⚡️5G	需要代理IP?⚡️Proxysites.ai⚡️	指纹浏览器，就用AdsPower
Mediabuy⚡️玩家开户首选	【鲁班跨境通-自助充值转账】	FB/GG/TT❤️官方免费开户	Affiliate 全媒体流量资源⚡️
Taboola/Outbrain /Bing⚡️一级代理	*开户投流-724h❤️人工在线**	【官方】❤️搜索套利买量投流开户	独立站⚡️开户投放
DuoPlus专注打造跨境电商云手机	E.PN 虚拟卡	BINOM TRACKER 60% OFF!	比Adplexity还好用的Spy工具
ADPLEXITY + ADVERTCN	7200W全球动态不重复住宅IP代理	虚拟信用卡+独立站收款	全球虚拟卡, 支持U充值
Facebook 批量上广告	尤里改 - FB 稳定投放	免费黑五教程（持续更新、欢迎交流）	FB 三不限源头 - 自助下户充值转款
各种主页、账单户、BM户（优势）	⚡️个人户，bm户不限额，账单户	9Proxy ⚡️ $0.04/IP, 无限带宽	IPCola原生住宅IP⚡️$2.1/条双ISP
虚拟卡\|PTM星际卡	FB专用虚拟卡	Google、Bing官方总代联盟流量开户	fb耐用号0.01一个
fb账号官方合作商	FB资源，账单户，分享户，国内一手	FB企业户BM户账单户源头	广告位出租

整个服务器所有网站被挂马

本帖子中包含更多资源

点评

点评

点评

点评

点评

点评

点评

社区QQ达人