整个服务器所有网站被挂马

8943

应该是用的wordpress的漏洞，删了2个小时。

8 K8 I- R7 I* B1 `1 L1 d/ b生成的文件有index.php.radio.php,admin.php,还有其他几个，还有.htacess，在根目录，wp-content文件下还有个mu-plugins-old文件夹。然后基本每个文件夹下生成.htacess文件。没有wp-admin和wp-include的，就自动生成，伪装成wordpress正常文件。
- \' ]4 r2 `. m- n% O, B1 w
用着wordpress程序的，index.php文件里面写上程序了，能正常访问，一般发现不了。没用wordpress程序的，把原来的index.php覆盖了，访问不了，要不还发现不了。
; D- N0 J% f  F

4 U& G. c* x/ F8 k6 {大家没事了查查源文件。
---------------------------------------
# G2 ?2 x* m) L- n6 r$ I生成的htacess文件
' b& C* J8 ]' L' _' f
<FilesMatch ".(py|exe|php)$">
. e* q9 D# \% z5 z Order allow,deny
. K7 u7 ]. _. I% N- S1 t Deny from all
</FilesMatch>
' j# A* J: J# e7 `& V) m<FilesMatch "^(about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php|wp-l0gin.php|wp-theme.php|wp-scripts.php|wp-editor.php)$">
Order allow,deny
Allow from all
</FilesMatch>
3 H7 f) G- J  O! y  }/ y<IfModule mod_rewrite.c>
# H/ R5 j  s1 mRewriteEngine On
- D$ G* L' P" V7 MRewriteBase /
; g/ h  u) Q  a$ g1 vRewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
6 R1 ~( k2 G, l/ T' q* i& w" fRewriteRule . /index.php [L]
</IfModule>-----------------------------------------
6 M' ^3 g" t( B" W  n正常源码上面生成的字符
  H8 |+ ~+ g" j
' X* J$ x; x$ y& x& I

; [6 `8 [2 q* A$ S: P: _+ e

河小马

这种其实只能重装
" N1 j4 k4 Q+ y
' W. ~5 c* o& t" u" D6 b你不知道是哪里出了问题，删是删不干净的

sead

8943 发表于 2022-4-12 17:06
9 I4 q) K: O6 M, Q+ ^- q/ t用的bt面板，没开。
4 j5 W, K: w/ x% c$ u9 F最早的文件我看是4月8号的，也就是没几天

如果碰到服务器版本有提权漏洞，内核提权了才头疼。
公布的提权漏洞还算好，可以查，要真查到版本符合，不要抱侥幸心理，可以换服务器了

ShinobuCR

我这好像没有，挂防火墙插件了么

8943

用的bt面板，没开。
最早的文件我看是4月8号的，也就是没几天

小龙虾

上传文件目录检查，其他文件全新覆盖吧

sead

防止0day的最硬方式，防火墙不是100%防止的
& `3 P2 M/ Q9 `$ E: F7 [% H1 Vhttps://www.advertcn.com/thread-97475-1-1.html

老菜

ShinobuCR 发表于 2022-4-12 16:54
我这好像没有，挂防火墙插件了么

一般挂哪个插件好点呢

sead

8943 发表于 2022-4-12 17:06
" Z9 I7 ]6 V- `! D. h用的bt面板，没开。
5 g3 K, W/ N& r9 t" b/ E) N最早的文件我看是4月8号的，也就是没几天

. \% Y' b2 F4 U: m, d正常情况下文件时间是可以修改的，如果权限比较大，想藏后门很容易

8943

我把只要没流量的网站都删除了，剩下的网站也没几个wordpress程序了，过两天再看看还有没有。

以后还是少用wordpress把，用的话就自己i改一下，就几个页面，防止被黑。

8943

sead 发表于 2022-4-12 17:59
正常情况下文件时间是可以修改的，如果权限比较大，想藏后门很容易

' e  v  G0 S+ V9 I/ i" z, z/ P应该是最近的，我每天都要随机访问一下网站域名，有的网站首页是html的，就没问题，也就大意了。写进去的源代码，你不访问首页不生成文件，访问以后，在刷新，文件就变了，服务器内部就多了好多文件。首页是php的直接文件写源码进去，html的只是把其他文件生成了，但是不影响访问。

newcb

是不是用了破解的主题？

8943

newcb 发表于 2022-4-12 18:17
是不是用了破解的主题？

应该是没有，具体的也忘了，都是采集的，丢一个wordpress上去，基本都是默认模板，好多个版本的wordpress

枸夭

我也被黑过一次，被挂上了日本的黑链，没用任何破解主题和插件。最后重装了

ShinobuCR

老菜 发表于 2022-4-12 17:59
4 K1 ~! L" O. N* P9 w一般挂哪个插件好点呢

Wordfence 吧，我就挂免费版的 至少目前为止没出啥问题
之前没挂防火墙确实被入侵过