整个服务器所有网站被挂马

8943

应该是用的wordpress的漏洞，删了2个小时。

生成的文件有index.php.radio.php,admin.php,还有其他几个，还有.htacess，在根目录，wp-content文件下还有个mu-plugins-old文件夹。然后基本每个文件夹下生成.htacess文件。没有wp-admin和wp-include的，就自动生成，伪装成wordpress正常文件。
' E% W8 ?; V0 Q/ x+ R# |0 g
用着wordpress程序的，index.php文件里面写上程序了，能正常访问，一般发现不了。没用wordpress程序的，把原来的index.php覆盖了，访问不了，要不还发现不了。

8 P" l' A# k' v2 g7 q
% y5 d& N7 J5 N- ~4 u8 k- E大家没事了查查源文件。
---------------------------------------
, i. y5 c' K& b$ ^1 L; [9 T) Y$ N生成的htacess文件

<FilesMatch ".(py|exe|php)$">
  {1 S" _1 y" a; a1 |% z' @& v Order allow,deny
+ M+ g% `+ y6 x1 C7 g Deny from all
9 z( C& X  p( [; B0 q7 [</FilesMatch>
<FilesMatch "^(about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php|wp-l0gin.php|wp-theme.php|wp-scripts.php|wp-editor.php)$">
* m+ \  `& a' [8 R Order allow,deny
# Q3 G& j2 ]/ {! u& { Allow from all
+ M7 o! b, F* P. R</FilesMatch>
<IfModule mod_rewrite.c>
5 `* ]4 q) l' e" _- M- S& N; P5 qRewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
7 i. |2 z0 i! o" C% Q$ X& h6 S: yRewriteCond %{REQUEST_FILENAME} !-f
7 R8 d' R8 g$ p$ \! U, r' s, H: {RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
7 L. J9 a9 k( h</IfModule>-----------------------------------------
正常源码上面生成的字符
: b% u0 D( V2 I; @, I9 i: R
( A  r4 c" Z; b+ o3 l5 I  k
, M7 l) ^1 m" k
! K, a4 |4 w6 n: z/ w. A
3 U0 w( D1 p5 Q7 G% P2 P5 _1 v( A- r

河小马

这种其实只能重装

你不知道是哪里出了问题，删是删不干净的

sead

8943 发表于 2022-4-12 17:06
/ ~6 r  h# e; u# Q( b用的bt面板，没开。
* k  o- F6 ~/ \& F; n. r" n最早的文件我看是4月8号的，也就是没几天

& X7 g1 j7 I, f如果碰到服务器版本有提权漏洞，内核提权了才头疼。
公布的提权漏洞还算好，可以查，要真查到版本符合，不要抱侥幸心理，可以换服务器了

ShinobuCR

我这好像没有，挂防火墙插件了么

8943

用的bt面板，没开。
最早的文件我看是4月8号的，也就是没几天

小龙虾

上传文件目录检查，其他文件全新覆盖吧

sead

防止0day的最硬方式，防火墙不是100%防止的
; \# Y  E# |3 N2 d: yhttps://www.advertcn.com/thread-97475-1-1.html

老菜

ShinobuCR 发表于 2022-4-12 16:54
8 x5 Y1 K  w! b我这好像没有，挂防火墙插件了么

8 r! r; |2 M+ t& b一般挂哪个插件好点呢

sead

8943 发表于 2022-4-12 17:06
, Z2 C! a/ ^( T用的bt面板，没开。
最早的文件我看是4月8号的，也就是没几天

正常情况下文件时间是可以修改的，如果权限比较大，想藏后门很容易

8943

我把只要没流量的网站都删除了，剩下的网站也没几个wordpress程序了，过两天再看看还有没有。
2 e3 i8 q4 Q- N  Z
4 e* ~8 D/ O- S以后还是少用wordpress把，用的话就自己i改一下，就几个页面，防止被黑。

8943

sead 发表于 2022-4-12 17:59
正常情况下文件时间是可以修改的，如果权限比较大，想藏后门很容易

9 ~4 U/ l  C$ h应该是最近的，我每天都要随机访问一下网站域名，有的网站首页是html的，就没问题，也就大意了。写进去的源代码，你不访问首页不生成文件，访问以后，在刷新，文件就变了，服务器内部就多了好多文件。首页是php的直接文件写源码进去，html的只是把其他文件生成了，但是不影响访问。

newcb

是不是用了破解的主题？

8943

newcb 发表于 2022-4-12 18:17
7 Q/ [7 c% {. i- _1 ^0 h8 x是不是用了破解的主题？

( S) H9 a7 k, M6 M9 k  {' U7 G应该是没有，具体的也忘了，都是采集的，丢一个wordpress上去，基本都是默认模板，好多个版本的wordpress

枸夭

我也被黑过一次，被挂上了日本的黑链，没用任何破解主题和插件。最后重装了

ShinobuCR

老菜 发表于 2022-4-12 17:59
  u3 H9 [% A2 x- y& d# e, N! w一般挂哪个插件好点呢

Wordfence 吧，我就挂免费版的 至少目前为止没出啥问题
  D6 ^* ~: D# J  C2 b4 P+ F之前没挂防火墙确实被入侵过