整个服务器所有网站被挂马

8943 · 发表于 2022-4-12 16:42:09

本帖最后由 8943 于 2022-4-12 18:25 编辑

应该是用的wordpress的漏洞，删了2个小时。

生成的文件有index.php.radio.php,admin.php,还有其他几个，还有.htacess，在根目录，wp-content文件下还有个mu-plugins-old文件夹。然后基本每个文件夹下生成.htacess文件。没有wp-admin和wp-include的，就自动生成，伪装成wordpress正常文件。

用着wordpress程序的，index.php文件里面写上程序了，能正常访问，一般发现不了。没用wordpress程序的，把原来的index.php覆盖了，访问不了，要不还发现不了。

大家没事了查查源文件。
---------------------------------------
生成的htacess文件

<FilesMatch ".(py|exe|php)$">
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch "^(about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php|wp-l0gin.php|wp-theme.php|wp-scripts.php|wp-editor.php)$">
Order allow,deny
Allow from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>-----------------------------------------
正常源码上面生成的字符

河小马 · 发表于 2022-4-13 09:47:11

这种其实只能重装

你不知道是哪里出了问题，删是删不干净的

sead · 发表于 2022-4-12 18:04:32

8943 发表于 2022-4-12 17:068 h1 f1 G Y3 {$ s, I5 V4 [( m0 I
用的bt面板，没开。
i- E* b' I. D; p最早的文件我看是4月8号的，也就是没几天

如果碰到服务器版本有提权漏洞，内核提权了才头疼。
公布的提权漏洞还算好，可以查，要真查到版本符合，不要抱侥幸心理，可以换服务器了

ShinobuCR · 发表于 2022-4-12 16:54:05

我这好像没有，挂防火墙插件了么

8943 · 发表于 2022-4-12 17:06:03

用的bt面板，没开。
最早的文件我看是4月8号的，也就是没几天

小龙虾 · 发表于 2022-4-12 17:08:02

上传文件目录检查，其他文件全新覆盖吧

sead · 发表于 2022-4-12 17:49:38

防止0day的最硬方式，防火墙不是100%防止的
https://www.advertcn.com/thread-97475-1-1.html

老菜 · 发表于 2022-4-12 17:59:08

ShinobuCR 发表于 2022-4-12 16:547 X- J* ^6 a" \, A6 h
我这好像没有，挂防火墙插件了么

一般挂哪个插件好点呢

sead · 发表于 2022-4-12 17:59:25

8943 发表于 2022-4-12 17:06
% S: g' U3 n2 U# I用的bt面板，没开。% t' z$ a6 j& R4 ~2 b) f; L
最早的文件我看是4月8号的，也就是没几天

正常情况下文件时间是可以修改的，如果权限比较大，想藏后门很容易

8943 · 发表于 2022-4-12 18:05:50

我把只要没流量的网站都删除了，剩下的网站也没几个wordpress程序了，过两天再看看还有没有。

以后还是少用wordpress把，用的话就自己i改一下，就几个页面，防止被黑。

8943 · 发表于 2022-4-12 18:11:40

sead 发表于 2022-4-12 17:59
+ G4 `. L0 L a- q; y$ L正常情况下文件时间是可以修改的，如果权限比较大，想藏后门很容易

应该是最近的，我每天都要随机访问一下网站域名，有的网站首页是html的，就没问题，也就大意了。写进去的源代码，你不访问首页不生成文件，访问以后，在刷新，文件就变了，服务器内部就多了好多文件。首页是php的直接文件写源码进去，html的只是把其他文件生成了，但是不影响访问。

newcb · 发表于 2022-4-12 18:17:23

是不是用了破解的主题？

8943 · 发表于 2022-4-12 18:26:24

newcb 发表于 2022-4-12 18:17, q; |$ t9 C1 Q s& M. m
是不是用了破解的主题？

应该是没有，具体的也忘了，都是采集的，丢一个wordpress上去，基本都是默认模板，好多个版本的wordpress

枸夭 · 发表于 2022-4-12 21:42:25

我也被黑过一次，被挂上了日本的黑链，没用任何破解主题和插件。最后重装了

ShinobuCR · 发表于 2022-4-12 23:23:53

老菜发表于 2022-4-12 17:59
- p% l, X& y2 B一般挂哪个插件好点呢

Wordfence 吧，我就挂免费版的至少目前为止没出啥问题
之前没挂防火墙确实被入侵过

		自动登录	找回密码
密码			立即注册

谷歌+Bing+TT+MSN官方代理	⚡️按条S5代理⚡️静态⚡️独享⚡️5G	⚡️最干净<Wifi住宅+5G移动>IP代理	泰国仓储，本土仓发货2-3元/单
指纹浏览器，就用AdsPower	谷歌/FB/Bing/Yahoo代理商开户	7200W全球动态不重复住宅IP代理	全球优质流量，选TrafficStars
出售Facebook,友缘号,FB广告号,ins	FB/TT/KW 加白开户	ADPLEXITY + ADVERTCN	比Adplexity还好用的Spy工具
广	告	开	户
FB/Google/TK	海外多媒体	极速	下户
BINOM TRACKER 60% OFF!	MediaGo+Taboola+Ob开户	百度国际MediaGo⚡️让产品狂奔全球	百度国际，高点击转化，快速放量
百度国际MediaGo，独家原生流量	虚拟信用卡+独立站收款	行业首创新型指纹Cloak, 谷歌奇效!	Kookeey⚡️100%独享⚡️原生住宅IP
⚡IPFoxy住宅代理全场88折⚡	全球虚拟卡, 支持U充值	免账户投放 FB 广告（送项目）	2024做什么 - Media buy 项目库
免费黑五教程（持续更新、欢迎交流）	Facebook 批量上广告	Bridgeway - 联盟营销网络	IPCola 全新住宅代理 ⚡️ 免费试用
各种主页、账单户、BM户（优势）	⚡️个人户，bm户不限额，账单户	Adsterra 的CPA/CPM/CPC 网站流量	在线注册美国/英国/香港等海外公司
EU KETO/CBD - Jumbleberry	FB二三解1元/个	9Proxy ⚡️ $0.04/IP, 无限带宽	cloak斗篷/ss/nutra/cpa/Dating
E.PN 虚拟卡	Asocks代理服务器$3/GB	高薪诚求实力FB投手（独立站）	《全新虚拟卡+全球收付款》
广告位出租	全球低价纯净住宅/移动IP-免费试用	广告代投, 东南亚物流, 虚拟信用卡	VMLogin指纹浏览器+多账号防关联

整个服务器所有网站被挂马

本帖子中包含更多资源

点评

点评

点评

点评

点评

点评

点评

社区QQ达人