服务器被黑客入侵了~有大佬知道咋放进去的嘛

那都通

网站发出来看看

宁静致远

胖虎_ 发表于 2024-11-9 04:35
那怎么解决这种问题呢，我查了，确实有zip压缩包，检测了，是有webshell

解决不了，我可以明确告诉你，BT的锅。因为我中过几次了，我也开了防火墙各种的。。最后是很麻烦手工删文件覆盖文件倒腾正常的站，唯一幸存的是数据没被改，但是文件或者其他资料肯定是被泄露没跑了，说难听颠没准被打包了。

牛哥哥

看nginx日志。告诉我是什么系统 然后把日志丢出来  基本就可以分析出来了

胖虎_

宁静致远 发表于 2024-11-10 00:58
解决不了，我可以明确告诉你，BT的锅。因为我中过几次了，我也开了防火墙各种的。。最后是很麻烦手工删文 ...

不是宝塔的锅。我找到大概的问题了。其中一个网站后台弱密码，被登录进去了。然后通过下载/更新插件的方式提交了他的压缩包。（使用的cms，带有下载插件的功能）后面就是直接执行了这个文件。（因为插件上传方法好像自动解压了。） 然后执行完，就是整个wwwroot目录里面所有网站都有这个文件。他又到其中一个网站里通过xm1.php文件再次执行 上传了webshell控制页面。（这个应该是留后手用的。）

主要搞不明白，他是怎么影响到其他网站目录的。目录也设置了ini

胖虎_

那都通 发表于 2024-11-10 00:25
网站发出来看看

网站就不发了吧，我怕发出来机器都没了~
我还在排查中，大致问题如下：

其中一个网站后台弱密码，被登录进去了。然后通过下载/更新插件的方式提交了他的压缩包。（使用的cms，带有下载插件的功能）后面就是直接执行了这个文件。（因为插件上传方法好像自动解压了。） 然后执行完，就是整个wwwroot目录里面所有网站都有这个文件。他又到其中一个网站里通过xm1.php文件再次执行 上传了webshell控制页面。（这个应该是留后手用的。）

主要搞不明白，他是怎么影响到其他网站目录的。目录也设置了ini

胖虎_

牛哥哥 发表于 2024-11-10 01:55
看nginx日志。告诉我是什么系统 然后把日志丢出来  基本就可以分析出来了

大佬有啥分析的网站可以发出来学习学习，或者分析的方法。

我在用笨方法，导出当天和前一天的日志，一个一个查看的。
主要是网站比较多。三四十个，要一个一个查。
目前已经差不多知道啥原因导致的了。

其中一个网站后台弱密码，被登录进去了。然后通过下载/更新插件的方式提交了他的压缩包。（使用的cms，带有下载插件的功能）后面就是直接执行了这个文件。（因为插件上传方法好像自动解压了。） 然后执行完，就是整个wwwroot目录里面所有网站都有这个文件。他又到其中一个网站里通过xm1.php文件再次执行 上传了webshell控制页面。（这个应该是留后手用的。）

主要搞不明白，他是怎么影响到其他网站目录的。目录也设置了ini

胖虎_

ok通 发表于 2024-11-9 10:22
寶塔漏洞

哈哈哈，应该不算。我查日志，发现是其中一个网站后台弱密码，被黑客登录发送虚假请求上传的压缩包。

大概原因如下：

其中一个网站后台弱密码，被登录进去了。然后通过下载/更新插件的方式提交了他的压缩包。（使用的cms，带有下载插件的功能）后面就是直接执行了这个文件。（因为插件上传方法好像自动解压了。） 然后执行完，就是整个wwwroot目录里面所有网站都有这个文件。他又到其中一个网站里通过xm1.php文件再次执行 上传了webshell控制页面。（这个应该是留后手用的。）

主要搞不明白，他是怎么影响到其他网站目录的。目录也设置了ini

宁静致远

胖虎_ 发表于 2024-11-10 04:59
不是宝塔的锅。我找到大概的问题了。其中一个网站后台弱密码，被登录进去了。然后通过下载/更新插件的方 ...

弱密码不可能影响这些，就算爆破了你密码，不可能拿到wwwroot的跨站提权，何况每个根目录都有ini，就是BT的锅，我试过几次了。

我心飞呀飞

上个waf啊，上一次公司程序被xss，原来是在小程序端进入的。

amiguo

好家伙，三四十个网站