整个服务器所有网站被挂马

8943 · 发表于 2022-4-12 16:42:09

本帖最后由 8943 于 2022-4-12 18:25 编辑

应该是用的wordpress的漏洞，删了2个小时。

生成的文件有index.php.radio.php,admin.php,还有其他几个，还有.htacess，在根目录，wp-content文件下还有个mu-plugins-old文件夹。然后基本每个文件夹下生成.htacess文件。没有wp-admin和wp-include的，就自动生成，伪装成wordpress正常文件。

用着wordpress程序的，index.php文件里面写上程序了，能正常访问，一般发现不了。没用wordpress程序的，把原来的index.php覆盖了，访问不了，要不还发现不了。

大家没事了查查源文件。
---------------------------------------
生成的htacess文件

<FilesMatch ".(py|exe|php)$">
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch "^(about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php|wp-l0gin.php|wp-theme.php|wp-scripts.php|wp-editor.php)$">
Order allow,deny
Allow from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>-----------------------------------------
正常源码上面生成的字符

河小马 · 发表于 2022-4-13 09:47:11

这种其实只能重装

你不知道是哪里出了问题，删是删不干净的

sead · 发表于 2022-4-12 18:04:32

8943 发表于 2022-4-12 17:06
3 Q& t+ K0 F1 V ^6 V用的bt面板，没开。
" O4 B; R% R. x. g" O, b, x最早的文件我看是4月8号的，也就是没几天

如果碰到服务器版本有提权漏洞，内核提权了才头疼。
公布的提权漏洞还算好，可以查，要真查到版本符合，不要抱侥幸心理，可以换服务器了

ShinobuCR · 发表于 2022-4-12 16:54:05

我这好像没有，挂防火墙插件了么

8943 · 发表于 2022-4-12 17:06:03

用的bt面板，没开。
最早的文件我看是4月8号的，也就是没几天

小龙虾 · 发表于 2022-4-12 17:08:02

上传文件目录检查，其他文件全新覆盖吧

sead · 发表于 2022-4-12 17:49:38

防止0day的最硬方式，防火墙不是100%防止的
https://www.advertcn.com/thread-97475-1-1.html

老菜 · 发表于 2022-4-12 17:59:08

ShinobuCR 发表于 2022-4-12 16:54
, [9 b& B" n! r" w我这好像没有，挂防火墙插件了么

一般挂哪个插件好点呢

sead · 发表于 2022-4-12 17:59:25

8943 发表于 2022-4-12 17:06, [1 [) |/ [5 O, h+ W" I
用的bt面板，没开。5 L: h& q' q0 }- z9 b3 M4 B
最早的文件我看是4月8号的，也就是没几天

正常情况下文件时间是可以修改的，如果权限比较大，想藏后门很容易

8943 · 发表于 2022-4-12 18:05:50

我把只要没流量的网站都删除了，剩下的网站也没几个wordpress程序了，过两天再看看还有没有。

以后还是少用wordpress把，用的话就自己i改一下，就几个页面，防止被黑。

8943 · 发表于 2022-4-12 18:11:40

sead 发表于 2022-4-12 17:59( s3 y8 l/ }! G. H
正常情况下文件时间是可以修改的，如果权限比较大，想藏后门很容易

应该是最近的，我每天都要随机访问一下网站域名，有的网站首页是html的，就没问题，也就大意了。写进去的源代码，你不访问首页不生成文件，访问以后，在刷新，文件就变了，服务器内部就多了好多文件。首页是php的直接文件写源码进去，html的只是把其他文件生成了，但是不影响访问。

newcb · 发表于 2022-4-12 18:17:23

是不是用了破解的主题？

8943 · 发表于 2022-4-12 18:26:24

newcb 发表于 2022-4-12 18:17
: X' X1 \% ^$ N4 k' ~/ k+ x! K4 P是不是用了破解的主题？

应该是没有，具体的也忘了，都是采集的，丢一个wordpress上去，基本都是默认模板，好多个版本的wordpress

枸夭 · 发表于 2022-4-12 21:42:25

我也被黑过一次，被挂上了日本的黑链，没用任何破解主题和插件。最后重装了

ShinobuCR · 发表于 2022-4-12 23:23:53

老菜发表于 2022-4-12 17:59) \7 Z+ U* y% _5 b' Q
一般挂哪个插件好点呢

Wordfence 吧，我就挂免费版的至少目前为止没出啥问题
之前没挂防火墙确实被入侵过

		自动登录	找回密码
密码			立即注册

Google-Bing-Mediago-Criteo开户	⚡️按条S5代理⚡️静态⚡️独享⚡️5G	广告专用虚拟卡/U充值/高返点	皇家代理IP⚡️#1性价比⚡️
Mediabuy⚡️玩家开户首选	【鲁班跨境通-自助充值转账】	FB/GG/TT❤️官方免费开户	Affiliate 全媒体流量资源⚡️
Taboola/Outbrain /Bing⚡️一级代理	*开户投流-724h❤️人工在线**	【官方】❤️搜索套利买量投流开户	独立站⚡️开户投放
⚡️AdsPower:安全不封号,高效自动化	Google FB TK游戏代投	⚡️E.PN 虚拟卡⚡️	BINOM TRACKER 60% OFF!
比Adplexity还好用的Spy工具	ADPLEXITY + ADVERTCN	7200W全球动态不重复住宅IP代理	全球虚拟卡, 支持U充值
Facebook 批量上广告	尤里改 - FB 稳定投放	免费黑五教程（持续更新、欢迎交流）	FB 三不限源头 - 自助下户充值转款
各种主页、账单户、BM户（优势）	IPCola原生住宅IP⚡️$1.8/条双ISP	FB资源，账单户，分享户，国内一手	TK加白户/二解户/FB海外户/GG老户
海外CL企业户源头	FB高权重耐操个号⚡️稳定过审	TikTok2审户/老户/国内外端口/加白	GG,FB,TK, 欧美源头, 欢迎合作❤️
FB企业户海外户,授信户,TK加白户	联盟收款/海外资金下发/服贸结汇	域名防红⚠斗篷工具/可试用3天	广告位出租
8500万高质量住宅IP，助力各种需求	虚拟卡返佣1%，国内持牌机构

整个服务器所有网站被挂马

本帖子中包含更多资源

点评

点评

点评

点评

点评

点评

点评

浏览过的版块

社区QQ达人