全球主机交流论坛

标题: 第二次被同一家**网站攻破。这次直接清空了index的内容。 [打印本页]

作者: mymyhope 时间: 2018-6-22 20:38
标题: 第二次被同一家**网站攻破。这次直接清空了index的内容。
刚刚被访客加了QQ提醒才发现自己网站又被挂马了，还是上次那家**网站。网页被简单粗暴的加入了下面的内容：

FTP下被修改/新增了下面三个文件。其中这次不是简单的挂马，而是直接把你的网页源代码保存后，简单粗暴的修改内容后弄了个index.html放到了根目录。index.php中的内容也被清空并修改了。

其中da.php包含预留好的后门。【注释：PHP中eval函数的意义是：把字符串当做代码执行】这里直接执行任意post过来的远程代码。

检查了FTP用户组后发现1001是下面这个用户，而这个用户是vestacp控制面板的用户，ssh权限也是nologin并且没有登录历史。

admin:x:1001:

现在先从备份还原这三个文件，然后异地备份了网站。搜索了一圈毫无头绪大概只可能出现在网站程序上了。（也有可能是Vestacp）。

写一下自己的服务器环境：

自己的ks杜甫上用Proxmox开设的lxc容器。安装了Debian 8。SSH端口修改过不可能被爆破。
网站程序是Typecho已经删掉了install目录（上次的大洞）。主题也是开源的主题。
服务器程序是Vestacp控制面板+Apache2.4+php5.6+Mariadb10.1。
SSH&FTP端口都修改了。

目前的补救手段是直接把整个网站目录改成了只读。但是这也是治标不治本啊。求大佬支招！

提醒各位MJJ备份好自己的站，现在这些垃圾已经为了赚钱不择手段了，会删你的代码的。

作者: Chaos 时间: 2018-6-22 20:40
好恐怖的样子。。每天自动备份到ftp的路过。。

作者: t9913085 时间: 2018-6-22 20:41
为啥一定要用面板呢，非要用面板最好还是买个DA吧

作者: 无限啸傲 时间: 2018-6-22 20:41
vestacp漏洞了解一下

作者: Lkanu 时间: 2018-6-22 20:43
举报一波域名，记得要把他的其他域名也举报了，最好能加客服的qq时刻获取到他们的最新域名，然后去ddos群买个包月套餐，攻击一波这个网站

作者: xiaoxiaobai 时间: 2018-6-22 20:45
LNMP很好用啊。功能也强大

作者: 随风飞扬 时间: 2018-6-22 20:48

作者: Lkanu 时间: 2018-6-22 20:48
阿里云香港服务器，47.52.241.29,先去找阿里的客服姐姐聊下天吧，告诉他们你要去工信部举报他们为违法内容提供服务器，提供技术支持

作者: mymyhope 时间: 2018-6-22 20:54

无限啸傲发表于 2018-6-22 20:41
vestacp漏洞了解一下

上次那个漏洞官方说修复过了...我还升级了QAQ

作者: 无限啸傲 时间: 2018-6-22 20:55
我选择appnode面板

作者: sora 时间: 2018-6-22 20:57
程序有漏洞很尴尬. 如果是全站静态的话, 可以考虑不允许php脚本. 或者写一个脚本. 一键改.php后缀名. 留下搜索等相关php文件.
另外试试360的扫描. 前端可查的文件都会扫一遍.

webscan.360.cn

复制代码

作者: mymyhope 时间: 2018-6-22 21:16

sora 发表于 2018-6-22 20:57
程序有漏洞很尴尬. 如果是全站静态的话, 可以考虑不允许php脚本. 或者写一个脚本. 一键改.php后缀名. 留下 ...

谢谢！就是PHP的网站orz 我去扫扫看！

作者: 低调路过 时间: 2018-6-22 21:36
提示: 作者被禁止或删除内容自动屏蔽

作者: mymyhope 时间: 2018-6-24 17:55

低调路过发表于 2018-6-22 21:36
平时将所有页面都设置成555权限，小鸡安装安全狗或者其他安全软件

全部设置了755改了归属QAQ

作者: hihandbag 时间: 2018-6-24 21:21
简单粗暴安全狗和D盾
防御至少99%的马

作者: 假面式寂寞 时间: 2018-6-24 21:34

hihandbag 发表于 2018-6-24 21:21
简单粗暴安全狗和D盾
防御至少99%的马

这两个同时使用不会产生问题么。。

作者: empΤy 时间: 2018-6-24 21:45
那个叫一句话木马

作者: fall 时间: 2018-6-24 21:54
有一句话就肯定不是ssh爆破了。这种马有可能是通过数据库写的，看看数据库log有没啥东西啊

作者: bob1987 时间: 2018-6-24 23:20
提示: 作者被禁止或删除内容自动屏蔽

作者: opjl 时间: 2018-6-25 01:43
从不用什么宝塔之类的面板，只用lnmp,网站4年好好的

作者: FreeDog 时间: 2018-6-25 08:04

Lkanu 发表于 2018-6-22 20:48
阿里云香港服务器，47.52.241.29,先去找阿里的客服姐姐聊下天吧，告诉他们你要去工信部举报他们为违法内容 ...

大佬这个操作就牛逼了

作者: xsmx 时间: 2018-6-25 08:09
安全问题别省钱

作者: caibrid 时间: 2018-6-25 09:33
几年lnmp，不管自己编译还是一键脚本都没问题。

作者: 左手写爱 时间: 2018-6-25 09:55
DD死他啊
吗的我也这样被黑过

欢迎光临全球主机交流论坛 (https://loc.mjj8.eu.org/)