第二次被同一家**网站攻破。这次直接清空了index的内容。

VPS讨论 admin 11个月前 (05-26) 34次浏览 0个评论

第二次被同一家**网站攻破。这次直接清空了index的内容。

FTP下被修改/新增了下面三个文件。其中这次不是简单的挂马,而是直接把你的网页源代码保存后,简单粗暴的修改内容后弄了个index.html放到了根目录。index.php中的内容也被清空并修改了。

第二次被同一家**网站攻破。这次直接清空了index的内容。

其中da.php包含预留好的后门。【注释:PHP中eval函数的意义是:把字符串当做代码执行】这里直接执行任意post过来的远程代码。

第二次被同一家**网站攻破。这次直接清空了index的内容。

检查了FTP用户组后发现1001是下面这个用户,而这个用户是vestacp控制面板的用户,h权限也是nologin并且没有登录历史。

admin:x:1001:

现在先从备份还原这三个文件,然后异地备份了网站。搜索了一圈毫无头绪大概只可能出现在网站程序上了。(也有可能是Vestacp)。

写一下自己的服务器环境:

自己的ks杜甫上用Proxmox开设的lxc容器。安装了Debian 8。H端口修改过不可能被爆破。
网站程序是Typecho已经删掉了install目录(上次的大洞)。主题也是开源的主题。
服务器程序是Vestacp控制面板+Apache2.4+php5.6+Mariadb10.1。
H&FTP端口都修改了。

目前的补救手段是直接把整个网站目录改成了只读。但是这也是治标不治本啊。求大佬支招!

提醒各位MJJ备份好自己的站,现在这些垃圾已经为了赚钱不择手段了,会删你的代码的。
新疆网友:阿里云香港服务器,47.52.241.29,先去找阿里的客服姐姐聊下天吧,告诉他们你要去工信部举报他们为违法内容提供服务器,提供技术支持
贵州网友:为啥一定要用面板呢,非要用面板最好还是买个DA吧
陕西网友:举报一波域名,记得要把他的其他域名也举报了,最好能加客服的qq时刻获取到他们的最新域名,然后去ddos群买个包月套餐,攻击一波这个网站
海南网友:
重庆网友:我选择appnode面板
贵州网友:谢谢!就是PHP的网站orz 我去扫扫看!
云南网友:全部设置了7改了归属QAQ
北京网友:这两个同时使用不会产生问题么。。
上海网友:有一句话就肯定不是h爆破了。这种马有可能是通过数据库写的,看看数据库log有没啥东西啊
贵州网友:从不用什么宝塔之类的面板,只用lnmp,网站4年好好的
四川网友:安全问题别省钱


免费部落 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:第二次被同一家**网站攻破。这次直接清空了index的内容。
喜欢 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址