第二次被同一家**网站攻破。这次直接清空了index的内容。

mymyhope

刚刚被访客加了QQ提醒才发现自己网站又被挂马了，还是上次那家**网站。网页被简单粗暴的加入了下面的内容：





FTP下被修改/新增了下面三个文件。其中这次不是简单的挂马，而是直接把你的网页源代码保存后，简单粗暴的修改内容后弄了个index.html放到了根目录。index.php中的内容也被清空并修改了。





其中da.php包含预留好的后门。【注释：PHP中eval函数的意义是：把字符串当做代码执行】这里直接执行任意post过来的远程代码。





检查了FTP用户组后发现1001是下面这个用户，而这个用户是vestacp控制面板的用户，ssh权限也是nologin并且没有登录历史。

admin:x:1001:

现在先从备份还原这三个文件，然后异地备份了网站。搜索了一圈毫无头绪大概只可能出现在网站程序上了。（也有可能是Vestacp）。

写一下自己的服务器环境：

自己的ks杜甫上用Proxmox开设的lxc容器。安装了Debian 8。SSH端口修改过不可能被爆破。
网站程序是Typecho已经删掉了install目录（上次的大洞）。主题也是开源的主题。
服务器程序是Vestacp控制面板+Apache2.4+php5.6+Mariadb10.1。
SSH&FTP端口都修改了。

目前的补救手段是直接把整个网站目录改成了只读。但是这也是治标不治本啊。求大佬支招！

提醒各位MJJ备份好自己的站，现在这些垃圾已经为了赚钱不择手段了，会删你的代码的。

Chaos

好恐怖的样子。。每天自动备份到ftp的路过。。

Lkanu

阿里云香港服务器，47.52.241.29,先去找阿里的客服姐姐聊下天吧，告诉他们你要去工信部举报他们为违法内容提供服务器，提供技术支持

t9913085

为啥一定要用面板呢，非要用面板最好还是买个DA吧

无限啸傲

vestacp漏洞了解一下

Lkanu

举报一波域名，记得要把他的其他域名也举报了，最好能加客服的qq时刻获取到他们的最新域名，然后去ddos群买个包月套餐，攻击一波这个网站

xiaoxiaobai

LNMP很好用啊。功能也强大

随风飞扬

mymyhope

无限啸傲 发表于 2018-6-22 20:41

vestacp漏洞了解一下
上次那个漏洞官方说修复过了...我还升级了QAQ

无限啸傲

我选择appnode面板