服务器中木马后续...

胖虎_

原帖
服务器被黑客入侵了~有大佬知道咋放进去的嘛
https://hostloc.wiki/thread-1361819-1-1.html
(出处: 全球主机交流论坛)

查了日志，发现如下：a 网站

1. 117.140.244.127       
   
2. 2024-11-08 14:49:56
   
3. POST
   
4. /index.php/Plugins/update.html
   
5. 200
   
6. --
   
7. 115 B
   
8. http://domain/Plugins/update.html
   
9. Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
   
10. 117.140.244.127       
    
11. 2024-11-08 14:50:00
    
12. GET
    
13. /*/exts/xm1.php

复制代码

根据上面日志，可以看出是通过网站后台更新 / 下载插件方式把压缩包上传到服务器目录。由于更新 / 下载插件会自动解压压缩包。后面就通过 xm1.php 文件执行 webshell 命令达到批量复制文件到所有网站目录中。【通过使用 蚁剑工具连接 xm1.php，是可以获取到服务器所有目录、文件。】

结合后面其他网站的日志查看，在 2024-11-08 17:51:45 前后几秒内多个网站的 xm1.php 文件被访问。其中一个被多次访问，且通过 xm1.php 文件上传新的 php 文件 promotea.php?ote。这个页面是一个 webshell 的控制页面。这个网站的所有 html 页面顶部都被加入跳转赌博网站代码了。【通过后台访问这个文件，是可以获取到当前网站目录所有文件。】

b 网站

1. 180.97.189.139       
   
2. 2024-11-08 17:54:41
   
3. GET
   
4. /static/upload/2024/11/promotea.php
   
5. 200
   
6. --
   
7. 31 B
   
8. --
   
9. Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
   
10. 
    
11. 180.97.189.139       
    
12. 2024-11-08 17:54:47
    
13. GET
    
14. /static/upload/2024/11/promotea.php?ote
    
15. 200
    
16. --
    
17. 3.07 kB
    
18. --
    
19. Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
    
20. 
    
21. 180.97.189.139       
    
22. 2024-11-08 17:55:39
    
23. POST
    
24. /static/upload/2024/11/promotea.php?ote
    
25. 200
    
26. --
    
27. 4.1 kB
    
28. http://domain/static/upload/2024/11/promotea.php?ote
    
29. Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
    
30. 180.97.189.139       
    
31. 2024-11-08 17:55:45
    
32. POST
    
33. /static/upload/2024/11/promotea.php?ote
    
34. 200
    
35. --
    
36. 4.08 kB
    
37. http://domain/static/upload/2024/11/promotea.php?ote
    
38. Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
    
39. 180.97.189.139       
    
40. 2024-11-08 17:56:34
    
41. GET
    
42. /
    
43. 200
    
44. --
    
45. 3.05 kB
    
46. --
    
47. Mozilla/5.0 (Windows NT 10.0;

复制代码

根据上面两个日志，可以得出木马文件是通过 a 网站后台弱密码登录，上传压缩包。复制到所有目录。进一步在b网站中上传webshell控制面板。也开启的防跨站，后面测试发现，使用 php70 版本，防跨站是失效的。使用 php7.4 之后，使用 蚁剑工具 就无法突破本站点。

如果使用宝塔海外版，建议不要使用 php7.0，防跨站设置是无效的。

胖虎_

3537589 发表于 2024-11-12 21:58
什么程序
wordpress 么

自己用cms写的。后台账号密码是我设置的默认admin，客户没有重新修改密码

whxntm

开启防篡改 开启防爆破和系统加固 没事的时候 关闭面板  

qidian8

建议升级PHP版本，加强安全设置，避免类似问题再次发生。

美女约吗

日志怎么检查的？搜素对应的文件？感觉蛮大的内容啊

胖虎_

whxntm 发表于 2024-11-12 20:06
开启防篡改 开启防爆破和系统加固 没事的时候 关闭面板

开启防篡改需要花钱吧。

胖虎_

美女约吗 发表于 2024-11-12 20:17
日志怎么检查的？搜素对应的文件？感觉蛮大的内容啊

因为客户发现后台无法登录，才知道出问题的。看目录出现多个文件，然后就用命令行把日志中日期是那个文件的显示日期和前一天的日志导出。后面就一个一个看了。

可以先在Linux 用命令查询整个网站目录 （/www/wwwroot）近几天修改的文件。然后看是否有不认识，或者非系统运行日志的文件产生或者修改。也可以把查询结果导出到文件中下载到本地查看。

找到有修改的文件，就可以定位是那个文件出现问题。然后查找对应网站的日志，或者直接导出日志查看。我是在浏览器找的查看日志网站，他会把每一项单独列出来显示。

3537589

什么程序
wordpress 么

胖虎_

qidian8 发表于 2024-11-12 20:15
建议升级PHP版本，加强安全设置，避免类似问题再次发生。

是的，准备重装~

whxntm

胖虎_ 发表于 2024-11-12 22:12
自己用cms写的。后台账号密码是我设置的默认admin，客户没有重新修改密码

我都是用的破解版本！！bt.sb 里面的