服务器中木马后续...

胖虎_ · 2024-11-12 19:51:40

原帖
服务器被黑客入侵了~有大佬知道咋放进去的嘛
https://hostloc.com/thread-1361819-1-1.html
(出处: 全球主机交流论坛)

查了日志，发现如下：a 网站
[ol]

117.140.244.127

2024-11-08 14:49:56

POST

/index.php/Plugins/update.html

200

--

115 B

http://domain/Plugins/update.html

Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0

117.140.244.127

2024-11-08 14:50:00

GET

/*/exts/xm1.php[/ol]复制代码

根据上面日志，可以看出是通过网站后台更新 / 下载插件方式把压缩包上传到服务器目录。由于更新 / 下载插件会自动解压压缩包。后面就通过 xm1.php 文件执行 webshell 命令达到批量复制文件到所有网站目录中。【通过使用蚁剑工具连接 xm1.php，是可以获取到服务器所有目录、文件。】

结合后面其他网站的日志查看，在 2024-11-08 17:51:45 前后几秒内多个网站的 xm1.php 文件被访问。其中一个被多次访问，且通过 xm1.php 文件上传新的 php 文件 promotea.php?ote。这个页面是一个 webshell 的控制页面。这个网站的所有 html 页面顶部都被加入跳转赌博网站代码了。【通过后台访问这个文件，是可以获取到当前网站目录所有文件。】

b 网站

[ol]

180.97.189.139

2024-11-08 17:54:41

GET

/static/upload/2024/11/promotea.php

200

--

31 B

--

Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0

180.97.189.139

2024-11-08 17:54:47

GET

/static/upload/2024/11/promotea.php?ote

200

--

3.07 kB

--

Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0

180.97.189.139

2024-11-08 17:55:39

POST

/static/upload/2024/11/promotea.php?ote

200

--

4.1 kB

http://domain/static/upload/2024/11/promotea.php?ote

Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0

180.97.189.139

2024-11-08 17:55:45

POST

/static/upload/2024/11/promotea.php?ote

200

--

4.08 kB

http://domain/static/upload/2024/11/promotea.php?ote

Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0

180.97.189.139

2024-11-08 17:56:34

GET

/

200

--

3.05 kB

--

Mozilla/5.0 (Windows NT 10.0; [/ol]复制代码

根据上面两个日志，可以得出木马文件是通过 a 网站后台弱密码登录，上传压缩包。复制到所有目录。进一步在b网站中上传webshell控制面板。也开启的防跨站，后面测试发现，使用 php70 版本，防跨站是失效的。使用 php7.4 之后，使用蚁剑工具就无法突破本站点。

如果使用宝塔海外版，建议不要使用 php7.0，防跨站设置是无效的。

胖虎_ · 2024-11-12 22:12:56

3537589 发表于 2024-11-12 21:58

什么程序
wordpress 么
自己用cms写的。后台账号密码是我设置的默认admin，客户没有重新修改密码

whxntm · 2024-11-12 21:58:00

开启防篡改开启防爆破和系统加固没事的时候关闭面板

qidian8 · 2024-11-12 20:06:24

建议升级PHP版本，加强安全设置，避免类似问题再次发生。

美女约吗 · 2024-11-12 20:15:44

日志怎么检查的？搜素对应的文件？感觉蛮大的内容啊

胖虎_ · 2024-11-12 20:17:43

whxntm 发表于 2024-11-12 20:06

开启防篡改开启防爆破和系统加固没事的时候关闭面板
开启防篡改需要花钱吧。

胖虎_ · 2024-11-12 21:53:34

美女约吗发表于 2024-11-12 20:17

日志怎么检查的？搜素对应的文件？感觉蛮大的内容啊
因为客户发现后台无法登录，才知道出问题的。看目录出现多个文件，然后就用命令行把日志中日期是那个文件的显示日期和前一天的日志导出。后面就一个一个看了。

可以先在Linux 用命令查询整个网站目录（/www/wwwroot）近几天修改的文件。然后看是否有不认识，或者非系统运行日志的文件产生或者修改。也可以把查询结果导出到文件中下载到本地查看。

找到有修改的文件，就可以定位是那个文件出现问题。然后查找对应网站的日志，或者直接导出日志查看。我是在浏览器找的查看日志网站，他会把每一项单独列出来显示。

3537589 · 2024-11-12 20:06:00

什么程序
wordpress 么

胖虎_ · 2024-11-12 21:57:59

qidian8 发表于 2024-11-12 20:15

建议升级PHP版本，加强安全设置，避免类似问题再次发生。
是的，准备重装~

whxntm · 2024-11-12 20:17:00

胖虎_ 发表于 2024-11-12 22:12

自己用cms写的。后台账号密码是我设置的默认admin，客户没有重新修改密码
我都是用的破解版本！！bt.sb 里面的

		立即注册	自动登录	找回密码
密码			立即注册