整个服务器所有网站被挂马

8943

应该是用的wordpress的漏洞，删了2个小时。
4 N, i* j; s/ {, a4 A3 c/ m8 Z, c
5 W. S- l& t) e3 \9 K  n% N生成的文件有index.php.radio.php,admin.php,还有其他几个，还有.htacess，在根目录，wp-content文件下还有个mu-plugins-old文件夹。然后基本每个文件夹下生成.htacess文件。没有wp-admin和wp-include的，就自动生成，伪装成wordpress正常文件。
" f6 |3 t, Z# T
$ n7 y2 X: @+ k# z, ?' J; l4 f用着wordpress程序的，index.php文件里面写上程序了，能正常访问，一般发现不了。没用wordpress程序的，把原来的index.php覆盖了，访问不了，要不还发现不了。
* u, ?0 x/ z" M, l" X6 A

% _  A0 [& h- ^+ P0 o& `( ~9 g: p大家没事了查查源文件。
---------------------------------------
生成的htacess文件
2 K' z* ^. L  L# N8 y+ A, K
<FilesMatch ".(py|exe|php)$">
- Y( R( b8 z! y Order allow,deny
7 [1 g( O- t- u  l9 G$ F Deny from all
/ O% Y) o+ W& F</FilesMatch>
<FilesMatch "^(about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php|wp-l0gin.php|wp-theme.php|wp-scripts.php|wp-editor.php)$">
9 Y6 }. i1 i0 V# z- V5 |! P$ B& V8 P Order allow,deny
1 @) w+ x3 ]4 j6 V$ Q Allow from all
</FilesMatch>
/ m* b! {9 I- r<IfModule mod_rewrite.c>
) h5 x& J' k5 u. u5 _1 QRewriteEngine On
3 t7 F5 x0 s, b1 {0 Q8 j% QRewriteBase /
" ]# \: ?- S  M/ `RewriteRule ^index\.php$ - [L]
, O4 G; }: a) b, |RewriteCond %{REQUEST_FILENAME} !-f
5 V# G+ W" W" }* U! W6 hRewriteCond %{REQUEST_FILENAME} !-d
; \1 v5 S: N0 \$ p- L7 v" vRewriteRule . /index.php [L]
: p7 T) q& s/ @$ M, E) H- }5 r</IfModule>-----------------------------------------
, k; M  g' D" r正常源码上面生成的字符
5 w0 a$ b+ q0 f( V; U( s* P

河小马

这种其实只能重装
  |- u3 X! @' S0 [
你不知道是哪里出了问题，删是删不干净的

sead

8943 发表于 2022-4-12 17:06
9 |- w( M& J* K8 {+ q用的bt面板，没开。
最早的文件我看是4月8号的，也就是没几天

; `" @, e' O4 ^% W( B; Q1 h, K8 _如果碰到服务器版本有提权漏洞，内核提权了才头疼。
# }: f; b0 B( J7 [* T1 j公布的提权漏洞还算好，可以查，要真查到版本符合，不要抱侥幸心理，可以换服务器了

ShinobuCR

我这好像没有，挂防火墙插件了么

8943

用的bt面板，没开。
  m2 @! X6 I9 M. `" h. I- B( q最早的文件我看是4月8号的，也就是没几天

小龙虾

上传文件目录检查，其他文件全新覆盖吧

sead

防止0day的最硬方式，防火墙不是100%防止的
* X2 B! {" w3 M5 t/ Ehttps://www.advertcn.com/thread-97475-1-1.html

老菜

ShinobuCR 发表于 2022-4-12 16:54
! V9 Q) I: M/ A. }5 T我这好像没有，挂防火墙插件了么

一般挂哪个插件好点呢

sead

8943 发表于 2022-4-12 17:06
$ t/ b- v& k, t' B. p用的bt面板，没开。
最早的文件我看是4月8号的，也就是没几天

# h; Q; G1 }' b# z正常情况下文件时间是可以修改的，如果权限比较大，想藏后门很容易

8943

我把只要没流量的网站都删除了，剩下的网站也没几个wordpress程序了，过两天再看看还有没有。
) {3 X. e/ @9 M6 t& e- G' ?
以后还是少用wordpress把，用的话就自己i改一下，就几个页面，防止被黑。

8943

sead 发表于 2022-4-12 17:59
正常情况下文件时间是可以修改的，如果权限比较大，想藏后门很容易

应该是最近的，我每天都要随机访问一下网站域名，有的网站首页是html的，就没问题，也就大意了。写进去的源代码，你不访问首页不生成文件，访问以后，在刷新，文件就变了，服务器内部就多了好多文件。首页是php的直接文件写源码进去，html的只是把其他文件生成了，但是不影响访问。

newcb

是不是用了破解的主题？

8943

newcb 发表于 2022-4-12 18:17
/ {) @3 K. o9 z8 S! s2 O, v% r; j2 r$ e是不是用了破解的主题？

应该是没有，具体的也忘了，都是采集的，丢一个wordpress上去，基本都是默认模板，好多个版本的wordpress

枸夭

我也被黑过一次，被挂上了日本的黑链，没用任何破解主题和插件。最后重装了

ShinobuCR

老菜 发表于 2022-4-12 17:59
一般挂哪个插件好点呢

* A# t$ f: g9 z9 W9 uWordfence 吧，我就挂免费版的 至少目前为止没出啥问题
9 Y* N/ J9 x' |  p4 P之前没挂防火墙确实被入侵过