整个服务器所有网站被挂马

8943

( [- |3 G( v3 I  T% |6 e
7 r# a0 q6 J, b; R应该是用的wordpress的漏洞，删了2个小时。

/ p& g. I2 d% Y- k0 n& U生成的文件有index.php.radio.php,admin.php,还有其他几个，还有.htacess，在根目录，wp-content文件下还有个mu-plugins-old文件夹。然后基本每个文件夹下生成.htacess文件。没有wp-admin和wp-include的，就自动生成，伪装成wordpress正常文件。

: v4 ?5 f, ^4 u4 v& @用着wordpress程序的，index.php文件里面写上程序了，能正常访问，一般发现不了。没用wordpress程序的，把原来的index.php覆盖了，访问不了，要不还发现不了。
5 A( d4 A; s- j7 O
* m( Z% c" z6 y+ P3 U7 w
8 e7 j) c9 x! i2 M1 i- ^) j$ U/ _大家没事了查查源文件。
* r; v7 D4 A& {---------------------------------------
2 Y% J. v$ g; Y' w- N生成的htacess文件

<FilesMatch ".(py|exe|php)$">
Order allow,deny
Deny from all
( l+ ^& R3 G0 |+ E" q% Q( l</FilesMatch>
0 M# R: b; ^# d9 H7 c<FilesMatch "^(about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php|wp-l0gin.php|wp-theme.php|wp-scripts.php|wp-editor.php)$">
+ P1 \8 C, k" N! n Order allow,deny
9 b) H: U8 u9 h/ A2 @0 o. X$ u Allow from all
. l# C: n! [1 @' L3 W0 W: K$ k0 C</FilesMatch>
7 L  |6 B7 {" N<IfModule mod_rewrite.c>
+ G0 B( l! s& T; t8 J) u& WRewriteEngine On
& l( l+ o$ z; H: T2 `% V& N' @' HRewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
. {. ^1 Z0 H) t9 l7 u/ mRewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
& f- v; `5 w5 a1 w</IfModule>-----------------------------------------
. Y% G6 @, Y) Y: ^正常源码上面生成的字符
) h5 }* C& l! j! Y; F
0 _! f! E0 |; e9 s9 Q- l' ~

4 Z% p$ a/ g4 o; U& D
5 X. M5 g6 n& G* M% H: ^. i

河小马

这种其实只能重装

" f8 ]9 t/ u8 F9 t6 k你不知道是哪里出了问题，删是删不干净的

sead

8943 发表于 2022-4-12 17:06
用的bt面板，没开。
; M- {& L* O, r' t7 z最早的文件我看是4月8号的，也就是没几天

如果碰到服务器版本有提权漏洞，内核提权了才头疼。
7 f; {: C: B0 G0 x公布的提权漏洞还算好，可以查，要真查到版本符合，不要抱侥幸心理，可以换服务器了

ShinobuCR

我这好像没有，挂防火墙插件了么

8943

用的bt面板，没开。
& o0 d# W1 q, ]/ S: z" L最早的文件我看是4月8号的，也就是没几天

小龙虾

上传文件目录检查，其他文件全新覆盖吧

sead

防止0day的最硬方式，防火墙不是100%防止的
https://www.advertcn.com/thread-97475-1-1.html

老菜

ShinobuCR 发表于 2022-4-12 16:54
我这好像没有，挂防火墙插件了么

0 e. P7 U' P5 ?, g$ l1 Y一般挂哪个插件好点呢

sead

8943 发表于 2022-4-12 17:06
& O: q7 k4 m" \用的bt面板，没开。
. f7 J9 m- ?# q9 d3 R1 ^4 Q$ k' B最早的文件我看是4月8号的，也就是没几天

正常情况下文件时间是可以修改的，如果权限比较大，想藏后门很容易

8943

我把只要没流量的网站都删除了，剩下的网站也没几个wordpress程序了，过两天再看看还有没有。
+ S$ f8 Z& J+ D' @3 {
以后还是少用wordpress把，用的话就自己i改一下，就几个页面，防止被黑。

8943

sead 发表于 2022-4-12 17:59
正常情况下文件时间是可以修改的，如果权限比较大，想藏后门很容易

4 f) w) S. V+ \0 h应该是最近的，我每天都要随机访问一下网站域名，有的网站首页是html的，就没问题，也就大意了。写进去的源代码，你不访问首页不生成文件，访问以后，在刷新，文件就变了，服务器内部就多了好多文件。首页是php的直接文件写源码进去，html的只是把其他文件生成了，但是不影响访问。

newcb

是不是用了破解的主题？

8943

newcb 发表于 2022-4-12 18:17
是不是用了破解的主题？

应该是没有，具体的也忘了，都是采集的，丢一个wordpress上去，基本都是默认模板，好多个版本的wordpress

枸夭

我也被黑过一次，被挂上了日本的黑链，没用任何破解主题和插件。最后重装了

ShinobuCR

老菜 发表于 2022-4-12 17:59
3 @  ^, h. h1 Y1 y8 \一般挂哪个插件好点呢

: {" R; y3 |" d6 `1 m" e8 a1 pWordfence 吧，我就挂免费版的 至少目前为止没出啥问题
之前没挂防火墙确实被入侵过