全球主机交流论坛

标题: 服务器被黑客入侵了~有大佬知道咋放进去的嘛 [打印本页]

作者: 胖虎_ 时间: 2024-11-9 01:15
标题: 服务器被黑客入侵了~有大佬知道咋放进去的嘛
在服务器里的网站文件夹里面都放了。xm1.php 文件。文件里面的代码如下。

有大佬知道咋放进去的嘛，每个网站里面都有。能查到是哪里的漏洞嘛

作者: acpp 时间: 2024-11-9 01:16
看web访问日志啊.前后

作者: easonxnuw 时间: 2024-11-9 01:18
我也想知道你怎么让他进去的

作者: laowen 时间: 2024-11-9 01:35
花钱找人排查，不然你睡觉都是不找

作者: 胖虎_ 时间: 2024-11-9 01:48

acpp 发表于 2024-11-9 01:16
看web访问日志啊.前后

嗯嗯，网站有点多，需要一个一个网站的去看日志嘛。现在还没办法确定是哪一个网站被搞了，导致所有都被放了这个文件

作者: 胖虎_ 时间: 2024-11-9 01:58

easonxnuw 发表于 2024-11-9 01:18
我也想知道你怎么让他进去的

呃呃呃，谁知道他怎么进来的。能搞的我都搞了。

作者: 胖虎_ 时间: 2024-11-9 02:01

laowen 发表于 2024-11-9 01:35
花钱找人排查，不然你睡觉都是不找

关机睡觉，哈哈哈

作者: 宁静致远 时间: 2024-11-9 02:06
菜刀入侵，我经历过好几次了，用的BT。

作者: 胖虎_ 时间: 2024-11-9 02:32

宁静致远发表于 2024-11-9 02:06
菜刀入侵，我经历过好几次了，用的BT。

啥是菜刀入侵

作者: 宁静致远 时间: 2024-11-9 03:15
Web shell，先上传一个文件可以读取目录的，然后服务器下每个网站都会有一个任意名称的XX.PHP文件

作者: 胖虎_ 时间: 2024-11-9 04:32

宁静致远发表于 2024-11-9 03:15
Web shell，先上传一个文件可以读取目录的，然后服务器下每个网站都会有一个任意名称的XX.PHP文件 ...

嗯嗯，就是服务器里某个网站被被人找到上传文件没有校验的入口了是吧。

作者: 胖虎_ 时间: 2024-11-9 04:35

宁静致远发表于 2024-11-9 03:15
Web shell，先上传一个文件可以读取目录的，然后服务器下每个网站都会有一个任意名称的XX.PHP文件 ...

那怎么解决这种问题呢，我查了，确实有zip压缩包，检测了，是有webshell

ESET
PHP/Webshell.ODS trojan
Kaspersky
HEUR:Backdoor.PHP.WebShell.gen

复制代码

作者: mmshow 时间: 2024-11-9 09:13

宁静致远发表于 2024-11-9 02:06
菜刀入侵，我经历过好几次了，用的BT。

功夫在高也怕菜刀~

作者: ok通 时间: 2024-11-9 10:22
寶塔漏洞

作者: ls2829373 时间: 2024-11-9 10:32
https://zhuanlan.zhihu.com/p/687745853 这个文章很经典，可以看一看。前后端分离还是有必要的。

作者: 你好，再见 时间: 2024-11-9 21:35

胖虎_ 发表于 2024-11-9 04:35
那怎么解决这种问题呢，我查了，确实有zip压缩包，检测了，是有webshell

webshell那就是网站代码有漏洞被钻空子了呗，网站程序尽量升级到最新版
其它也没啥好办法，漏洞一天没找到就会一直有人利用
用宝塔的话可以开一下防火墙，只要拦截到一次就会有日志记录，就能找出来了

作者: 老酒 时间: 2024-11-9 21:36
你这个是“一句话木马”哇，一般都是有注入点或者上传点造成的

作者: 胖虎_ 时间: 2024-11-9 21:41

你好，再见发表于 2024-11-9 21:35
webshell那就是网站代码有漏洞被钻空子了呗，网站程序尽量升级到最新版
其它也没啥好办法，漏洞一天没找 ...

用的海外版宝塔。嗯嗯，我在找看看。目前发现放了一个加密文件。访问是显示的网页版 webshell

作者: autosec 时间: 2024-11-9 21:59
需要网络安全服务可私我，专享mjj优惠

作者: 胖虎_ 时间: 2024-11-10 00:10

老酒发表于 2024-11-9 21:36
你这个是“一句话木马”哇，一般都是有注入点或者上传点造成的

嗯嗯，就是不知道在哪里上传最初文件。

作者: 那都通 时间: 2024-11-10 00:25
网站发出来看看

作者: 宁静致远 时间: 2024-11-10 00:58

胖虎_ 发表于 2024-11-9 04:35
那怎么解决这种问题呢，我查了，确实有zip压缩包，检测了，是有webshell

解决不了，我可以明确告诉你，BT的锅。因为我中过几次了，我也开了防火墙各种的。。最后是很麻烦手工删文件覆盖文件倒腾正常的站，唯一幸存的是数据没被改，但是文件或者其他资料肯定是被泄露没跑了，说难听颠没准被打包了。

作者: 牛哥哥 时间: 2024-11-10 01:55
看nginx日志。告诉我是什么系统然后把日志丢出来基本就可以分析出来了

作者: 胖虎_ 时间: 2024-11-10 04:59

宁静致远发表于 2024-11-10 00:58
解决不了，我可以明确告诉你，BT的锅。因为我中过几次了，我也开了防火墙各种的。。最后是很麻烦手工删文 ...

不是宝塔的锅。我找到大概的问题了。其中一个网站后台弱密码，被登录进去了。然后通过下载/更新插件的方式提交了他的压缩包。（使用的cms，带有下载插件的功能）后面就是直接执行了这个文件。（因为插件上传方法好像自动解压了。）然后执行完，就是整个wwwroot目录里面所有网站都有这个文件。他又到其中一个网站里通过xm1.php文件再次执行上传了webshell控制页面。（这个应该是留后手用的。）

主要搞不明白，他是怎么影响到其他网站目录的。目录也设置了ini

作者: 胖虎_ 时间: 2024-11-10 05:00

那都通发表于 2024-11-10 00:25
网站发出来看看

网站就不发了吧，我怕发出来机器都没了~
我还在排查中，大致问题如下：

其中一个网站后台弱密码，被登录进去了。然后通过下载/更新插件的方式提交了他的压缩包。（使用的cms，带有下载插件的功能）后面就是直接执行了这个文件。（因为插件上传方法好像自动解压了。）然后执行完，就是整个wwwroot目录里面所有网站都有这个文件。他又到其中一个网站里通过xm1.php文件再次执行上传了webshell控制页面。（这个应该是留后手用的。）

主要搞不明白，他是怎么影响到其他网站目录的。目录也设置了ini

作者: 胖虎_ 时间: 2024-11-10 05:02

牛哥哥发表于 2024-11-10 01:55
看nginx日志。告诉我是什么系统然后把日志丢出来基本就可以分析出来了

大佬有啥分析的网站可以发出来学习学习，或者分析的方法。

我在用笨方法，导出当天和前一天的日志，一个一个查看的。
主要是网站比较多。三四十个，要一个一个查。
目前已经差不多知道啥原因导致的了。

其中一个网站后台弱密码，被登录进去了。然后通过下载/更新插件的方式提交了他的压缩包。（使用的cms，带有下载插件的功能）后面就是直接执行了这个文件。（因为插件上传方法好像自动解压了。）然后执行完，就是整个wwwroot目录里面所有网站都有这个文件。他又到其中一个网站里通过xm1.php文件再次执行上传了webshell控制页面。（这个应该是留后手用的。）

主要搞不明白，他是怎么影响到其他网站目录的。目录也设置了ini

作者: 胖虎_ 时间: 2024-11-10 05:04

ok通发表于 2024-11-9 10:22
寶塔漏洞

哈哈哈，应该不算。我查日志，发现是其中一个网站后台弱密码，被黑客登录发送虚假请求上传的压缩包。

大概原因如下：

其中一个网站后台弱密码，被登录进去了。然后通过下载/更新插件的方式提交了他的压缩包。（使用的cms，带有下载插件的功能）后面就是直接执行了这个文件。（因为插件上传方法好像自动解压了。）然后执行完，就是整个wwwroot目录里面所有网站都有这个文件。他又到其中一个网站里通过xm1.php文件再次执行上传了webshell控制页面。（这个应该是留后手用的。）

主要搞不明白，他是怎么影响到其他网站目录的。目录也设置了ini

作者: 宁静致远 时间: 2024-11-10 05:54

胖虎_ 发表于 2024-11-10 04:59
不是宝塔的锅。我找到大概的问题了。其中一个网站后台弱密码，被登录进去了。然后通过下载/更新插件的方 ...

弱密码不可能影响这些，就算爆破了你密码，不可能拿到wwwroot的跨站提权，何况每个根目录都有ini，就是BT的锅，我试过几次了。

作者: 我心飞呀飞 时间: 2024-11-10 15:06
上个waf啊，上一次公司程序被xss，原来是在小程序端进入的。

作者: amiguo 时间: 2024-11-10 15:15
好家伙，三四十个网站

作者: 胖虎_ 时间: 2024-11-10 18:55

我心飞呀飞发表于 2024-11-10 15:06
上个waf啊，上一次公司程序被xss，原来是在小程序端进入的。

确实需要上一下了。免费的应该就够用了吧，以前没想过这种。只想着把网站root密码禁掉，端口不用的都关闭。没想到还有网站webshell

作者: 胖虎_ 时间: 2024-11-10 19:12

amiguo 发表于 2024-11-10 15:15
好家伙，三四十个网站

做一些选号网，靓号网的搭建业务罢了。不值钱

作者: 胖虎_ 时间: 2024-11-10 19:14

宁静致远发表于 2024-11-10 05:54
弱密码不可能影响这些，就算爆破了你密码，不可能拿到wwwroot的跨站提权，何况每个根目录都有ini，就是BT ...

确实，我也有点怀疑，他是怎么提权到wwwroot下面所有www用户目录的所有文件的。在wwwroot下面的所有目录，除了一个默认的所属用户是root没用被放php文件，其他的都放了。感觉ini没有启效果

作者: pygh518 时间: 2024-11-12 09:55
进来学习一下

作者: 亮有一妓 时间: 2024-11-12 10:04
如果拿下宝塔，没必要再去放eval类菜刀文件了。
程序是否都一样，小众开源一般都有漏洞

作者: kucn 时间: 2024-11-12 10:08
用QQ的小鸡，会有短信提醒你网站被上传了马儿。

作者: qidian8 时间: 2024-11-12 10:12
可能是网站程序或服务器配置漏洞，建议检查日志和更新软件。

作者: 胖虎_ 时间: 2024-11-12 17:15

亮有一妓发表于 2024-11-12 10:04
如果拿下宝塔，没必要再去放eval类菜刀文件了。
程序是否都一样，小众开源一般都有漏洞 ...

问题找到了。等后续重新开贴总结。

作者: 胖虎_ 时间: 2024-11-12 17:17

kucn 发表于 2024-11-12 10:08
用QQ的小鸡，会有短信提醒你网站被上传了马儿。

对的，但是他家的机器海外不行，线路太拉。之前是用的他家的。

作者: 胖虎_ 时间: 2024-11-12 17:19

qidian8 发表于 2024-11-12 10:12
可能是网站程序或服务器配置漏洞，建议检查日志和更新软件。

查过日志了。大致问题找到了。因为用的php7.0 防跨站没有启效果

作者: 宁静致远 时间: 2024-11-12 18:14

胖虎_ 发表于 2024-11-12 17:15
问题找到了。等后续重新开贴总结。

我会告诉你，还会有下次。

作者: 胖虎_ 时间: 2024-11-12 19:49

宁静致远发表于 2024-11-12 18:14
我会告诉你，还会有下次。

哈哈哈哈，没办法。

作者: rqp 时间: 2024-11-13 14:01
专业的才知道吧~
现在只能躺

欢迎光临全球主机交流论坛 (https://loc.xiu.ee/)