立即注册  找回密码
 立即注册
CeraNetworksBGVM服务器主机交流会员请立即修改密码Sharktech防护
查看: 55|回复: 9

服务器中木马后续...

[复制链接]

服务器中木马后续...

[复制链接]

11

主题

233

回帖

689

积分

高级会员

积分
689
胖虎_

11

主题

233

回帖

689

积分

高级会员

积分
689
2024-11-12 19:51:40 | 显示全部楼层 |阅读模式
原帖
服务器被黑客入侵了~有大佬知道咋放进去的嘛
https://hostloc.com/thread-1361819-1-1.html
(出处: 全球主机交流论坛)

查了日志,发现如下:a 网站
[ol]
  • 117.140.244.127        
  • 2024-11-08 14:49:56
  • POST
  • /index.php/Plugins/update.html
  • 200
  • --
  • 115 B
  • http://domain/Plugins/update.html
  • Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
  • 117.140.244.127        
  • 2024-11-08 14:50:00
  • GET
  • /*/exts/xm1.php[/ol]复制代码

    根据上面日志,可以看出是通过网站后台更新 / 下载插件方式把压缩包上传到服务器目录。由于更新 / 下载插件会自动解压压缩包。后面就通过 xm1.php 文件执行 webshell 命令达到批量复制文件到所有网站目录中。【通过使用 蚁剑工具连接 xm1.php,是可以获取到服务器所有目录、文件。】

    结合后面其他网站的日志查看,在 2024-11-08 17:51:45 前后几秒内多个网站的 xm1.php 文件被访问。其中一个被多次访问,且通过 xm1.php 文件上传新的 php 文件 promotea.php?ote。这个页面是一个 webshell 的控制页面。这个网站的所有 html 页面顶部都被加入跳转赌博网站代码了。【通过后台访问这个文件,是可以获取到当前网站目录所有文件。】

    b 网站

    [ol]
  • 180.97.189.139        
  • 2024-11-08 17:54:41
  • GET
  • /static/upload/2024/11/promotea.php
  • 200
  • --
  • 31 B
  • --
  • Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
  • 180.97.189.139        
  • 2024-11-08 17:54:47
  • GET
  • /static/upload/2024/11/promotea.php?ote
  • 200
  • --
  • 3.07 kB
  • --
  • Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
  • 180.97.189.139        
  • 2024-11-08 17:55:39
  • POST
  • /static/upload/2024/11/promotea.php?ote
  • 200
  • --
  • 4.1 kB
  • http://domain/static/upload/2024/11/promotea.php?ote
  • Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
  • 180.97.189.139        
  • 2024-11-08 17:55:45
  • POST
  • /static/upload/2024/11/promotea.php?ote
  • 200
  • --
  • 4.08 kB
  • http://domain/static/upload/2024/11/promotea.php?ote
  • Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
  • 180.97.189.139        
  • 2024-11-08 17:56:34
  • GET
  • /
  • 200
  • --
  • 3.05 kB
  • --
  • Mozilla/5.0 (Windows NT 10.0; [/ol]复制代码

    根据上面两个日志,可以得出木马文件是通过 a 网站后台弱密码登录,上传压缩包。复制到所有目录。进一步在b网站中上传webshell控制面板。也开启的防跨站,后面测试发现,使用 php70 版本,防跨站是失效的。使用 php7.4 之后,使用 蚁剑工具 就无法突破本站点。

    如果使用宝塔海外版,建议不要使用 php7.0,防跨站设置是无效的。
  • 回复

    使用道具 举报

    11

    主题

    233

    回帖

    689

    积分

    高级会员

    积分
    689
    胖虎_ 楼主

    11

    主题

    233

    回帖

    689

    积分

    高级会员

    积分
    689
    2024-11-12 22:12:56 | 显示全部楼层

    3537589 发表于 2024-11-12 21:58

    什么程序
    wordpress 么

    自己用cms写的。后台账号密码是我设置的默认admin,客户没有重新修改密码
    回复

    使用道具 举报

    1

    主题

    11

    回帖

    33

    积分

    新手上路

    积分
    33
    whxntm

    1

    主题

    11

    回帖

    33

    积分

    新手上路

    积分
    33
    2024-11-12 21:58:00 | 显示全部楼层
    开启防篡改 开启防爆破和系统加固 没事的时候 关闭面板  
    回复

    使用道具 举报

    6

    主题

    424

    回帖

    936

    积分

    高级会员

    积分
    936
    qidian8

    6

    主题

    424

    回帖

    936

    积分

    高级会员

    积分
    936
    2024-11-12 20:06:24 | 显示全部楼层
    建议升级PHP版本,加强安全设置,避免类似问题再次发生。
    回复

    使用道具 举报

    603

    主题

    753

    回帖

    4765

    积分

    论坛元老

    积分
    4765
    美女约吗

    603

    主题

    753

    回帖

    4765

    积分

    论坛元老

    积分
    4765
    2024-11-12 20:15:44 | 显示全部楼层
    日志怎么检查的?搜素对应的文件?感觉蛮大的内容啊
    回复

    使用道具 举报

    11

    主题

    233

    回帖

    689

    积分

    高级会员

    积分
    689
    胖虎_ 楼主

    11

    主题

    233

    回帖

    689

    积分

    高级会员

    积分
    689
    2024-11-12 20:17:43 | 显示全部楼层

    whxntm 发表于 2024-11-12 20:06

    开启防篡改 开启防爆破和系统加固 没事的时候 关闭面板

    开启防篡改需要花钱吧。
    回复

    使用道具 举报

    11

    主题

    233

    回帖

    689

    积分

    高级会员

    积分
    689
    胖虎_ 楼主

    11

    主题

    233

    回帖

    689

    积分

    高级会员

    积分
    689
    2024-11-12 21:53:34 | 显示全部楼层

    美女约吗 发表于 2024-11-12 20:17

    日志怎么检查的?搜素对应的文件?感觉蛮大的内容啊

    因为客户发现后台无法登录,才知道出问题的。看目录出现多个文件,然后就用命令行把日志中日期是那个文件的显示日期和前一天的日志导出。后面就一个一个看了。

    可以先在Linux 用命令查询整个网站目录 (/www/wwwroot)近几天修改的文件。然后看是否有不认识,或者非系统运行日志的文件产生或者修改。也可以把查询结果导出到文件中下载到本地查看。

    找到有修改的文件,就可以定位是那个文件出现问题。然后查找对应网站的日志,或者直接导出日志查看。我是在浏览器找的查看日志网站,他会把每一项单独列出来显示。
    回复

    使用道具 举报

    4

    主题

    15

    回帖

    72

    积分

    注册会员

    积分
    72
    3537589

    4

    主题

    15

    回帖

    72

    积分

    注册会员

    积分
    72
    2024-11-12 20:06:00 | 显示全部楼层
    什么程序
    wordpress 么
    回复

    使用道具 举报

    11

    主题

    233

    回帖

    689

    积分

    高级会员

    积分
    689
    胖虎_ 楼主

    11

    主题

    233

    回帖

    689

    积分

    高级会员

    积分
    689
    2024-11-12 21:57:59 | 显示全部楼层

    qidian8 发表于 2024-11-12 20:15

    建议升级PHP版本,加强安全设置,避免类似问题再次发生。

    是的,准备重装~
    回复

    使用道具 举报

    1

    主题

    11

    回帖

    33

    积分

    新手上路

    积分
    33
    whxntm

    1

    主题

    11

    回帖

    33

    积分

    新手上路

    积分
    33
    2024-11-12 20:17:00 | 显示全部楼层

    胖虎_ 发表于 2024-11-12 22:12

    自己用cms写的。后台账号密码是我设置的默认admin,客户没有重新修改密码

    我都是用的破解版本!!bt.sb 里面的
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    Archiver|小黑屋|HS2V主机综合交流论坛

    GMT+8, 2024-12-23 00:27 , Processed in 0.024078 second(s), 3 queries , Gzip On, Redis On.

    Powered by Discuz! X3.5

    © 2001-2024 Discuz! Team.

    快速回复 返回顶部 返回列表