整个服务器所有网站被挂马

8943 · 发表于 2022-4-12 16:42:09

本帖最后由 8943 于 2022-4-12 18:25 编辑

应该是用的wordpress的漏洞，删了2个小时。

生成的文件有index.php.radio.php,admin.php,还有其他几个，还有.htacess，在根目录，wp-content文件下还有个mu-plugins-old文件夹。然后基本每个文件夹下生成.htacess文件。没有wp-admin和wp-include的，就自动生成，伪装成wordpress正常文件。

用着wordpress程序的，index.php文件里面写上程序了，能正常访问，一般发现不了。没用wordpress程序的，把原来的index.php覆盖了，访问不了，要不还发现不了。

大家没事了查查源文件。
---------------------------------------
生成的htacess文件

<FilesMatch ".(py|exe|php)$">
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch "^(about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php|wp-l0gin.php|wp-theme.php|wp-scripts.php|wp-editor.php)$">
Order allow,deny
Allow from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>-----------------------------------------
正常源码上面生成的字符

河小马 · 发表于 2022-4-13 09:47:11

这种其实只能重装

你不知道是哪里出了问题，删是删不干净的

sead · 发表于 2022-4-12 18:04:32

8943 发表于 2022-4-12 17:06
! ]7 L: W4 Y, N6 w4 n% y用的bt面板，没开。* o/ [$ ?5 }& F$ T( M" R+ N( R
最早的文件我看是4月8号的，也就是没几天

如果碰到服务器版本有提权漏洞，内核提权了才头疼。
公布的提权漏洞还算好，可以查，要真查到版本符合，不要抱侥幸心理，可以换服务器了

ShinobuCR · 发表于 2022-4-12 16:54:05

我这好像没有，挂防火墙插件了么

8943 · 发表于 2022-4-12 17:06:03

用的bt面板，没开。
最早的文件我看是4月8号的，也就是没几天

小龙虾 · 发表于 2022-4-12 17:08:02

上传文件目录检查，其他文件全新覆盖吧

sead · 发表于 2022-4-12 17:49:38

防止0day的最硬方式，防火墙不是100%防止的
https://www.advertcn.com/thread-97475-1-1.html

老菜 · 发表于 2022-4-12 17:59:08

ShinobuCR 发表于 2022-4-12 16:54
7 U% U% Y' [6 ?' v2 H我这好像没有，挂防火墙插件了么

一般挂哪个插件好点呢

sead · 发表于 2022-4-12 17:59:25

8943 发表于 2022-4-12 17:06/ e, q# u* k+ J2 g: D
用的bt面板，没开。3 y4 {& ^, W/ E9 _8 T" m1 h
最早的文件我看是4月8号的，也就是没几天

正常情况下文件时间是可以修改的，如果权限比较大，想藏后门很容易

8943 · 发表于 2022-4-12 18:05:50

我把只要没流量的网站都删除了，剩下的网站也没几个wordpress程序了，过两天再看看还有没有。

以后还是少用wordpress把，用的话就自己i改一下，就几个页面，防止被黑。

8943 · 发表于 2022-4-12 18:11:40

sead 发表于 2022-4-12 17:59
* l1 R9 h& N8 Y( \3 K8 s2 s正常情况下文件时间是可以修改的，如果权限比较大，想藏后门很容易

应该是最近的，我每天都要随机访问一下网站域名，有的网站首页是html的，就没问题，也就大意了。写进去的源代码，你不访问首页不生成文件，访问以后，在刷新，文件就变了，服务器内部就多了好多文件。首页是php的直接文件写源码进去，html的只是把其他文件生成了，但是不影响访问。

newcb · 发表于 2022-4-12 18:17:23

是不是用了破解的主题？

8943 · 发表于 2022-4-12 18:26:24

newcb 发表于 2022-4-12 18:17* `- s9 _! o: L( Y* w! p
是不是用了破解的主题？

应该是没有，具体的也忘了，都是采集的，丢一个wordpress上去，基本都是默认模板，好多个版本的wordpress

枸夭 · 发表于 2022-4-12 21:42:25

我也被黑过一次，被挂上了日本的黑链，没用任何破解主题和插件。最后重装了

ShinobuCR · 发表于 2022-4-12 23:23:53

老菜发表于 2022-4-12 17:59& |; ~; f1 m; x, d ~! t2 P- n1 T' f
一般挂哪个插件好点呢

Wordfence 吧，我就挂免费版的至少目前为止没出啥问题
之前没挂防火墙确实被入侵过

		自动登录	找回密码
密码			立即注册

⚡️按条S5代理⚡️静态⚡️独享⚡️5G	⚡️AdsPower:安全不封号,高效自动化	Mediabuy⚡️玩家开户首选	【鲁班跨境通-自助充值转账】
FB/GG/TT❤️官方免费开户	Affiliate 全媒体流量资源⚡️	Taboola/Outbrain /Bing⚡️一级代理	*开户投流-724h❤️人工在线**
【官方】❤️搜索套利买量投流开户	独立站⚡️开户投放	FB BM不限额，短id账单户	E.PN 虚拟卡
BINOM TRACKER 60% OFF!	比Adplexity还好用的Spy工具	ADPLEXITY + ADVERTCN	7200W全球动态不重复住宅IP代理
虚拟信用卡+独立站收款	全球虚拟卡, 支持U充值	Facebook 批量上广告	尤里改 - FB 稳定投放
免费黑五教程（持续更新、欢迎交流）	FB 三不限源头 - 自助下户充值转款	各种主页、账单户、BM户（优势）	⚡️个人户，bm户不限额，账单户
FB资源，账单户，分享户，国内一手	FB企业户,TT老户,GG老户源头	海外CL企业户源头	PTM全球虚拟卡—进来交个朋友!
PTM虚拟卡⚡️费率透明⚡️额度随心	FB虚拟卡⚡️消费越多返现越多	【找量】BA独家Nutra单找量	虚拟FB卡 ⚡️ 透明条件
国内外持牌，虚拟信用卡和收付款	广告位出租	8500万高质量住宅IP，助力各种需求

整个服务器所有网站被挂马

本帖子中包含更多资源

点评

点评

点评

点评

点评

点评

点评

浏览过的版块

社区QQ达人