请选择 进入手机版 | 继续访问电脑版
查看: 84|回复: 9

第二次被同一家**网站攻破。这次直接清空了index的内容。

[复制链接]

41

主题

161

帖子

395

积分

中级会员

Rank: 3Rank: 3

积分
395
发表于 2018-6-22 20:38:47 | 显示全部楼层 |阅读模式
刚刚被访客加了QQ提醒才发现自己网站又被挂马了,还是上次那家**网站。网页被简单粗暴的加入了下面的内容:

FTP下被修改/新增了下面三个文件。其中这次不是简单的挂马,而是直接把你的网页源代码保存后,简单粗暴的修改内容后弄了个index.html放到了根目录。index.php中的内容也被清空并修改了。

其中da.php包含预留好的后门。【注释:PHP中eval函数的意义是:把字符串当做代码执行】这里直接执行任意post过来的远程代码。

检查了FTP用户组后发现1001是下面这个用户,而这个用户是vestacp控制面板的用户,ssh权限也是nologin并且没有登录历史。
admin:x:1001:
现在先从备份还原这三个文件,然后异地备份了网站。搜索了一圈毫无头绪大概只可能出现在网站程序上了。(也有可能是Vestacp)。
写一下自己的服务器环境:
自己的ks杜甫上用Proxmox开设的lxc容器。安装了Debian 8。SSH端口修改过不可能被爆破。
网站程序是Typecho已经删掉了install目录(上次的大洞)。主题也是开源的主题。
服务器程序是Vestacp控制面板+Apache2.4+php5.6+Mariadb10.1。
SSH&FTP端口都修改了。
目前的补救手段是直接把整个网站目录改成了只读。但是这也是治标不治本啊。求大佬支招!
提醒各位MJJ备份好自己的站,现在这些垃圾已经为了赚钱不择手段了,会删你的代码的。
回复

使用道具 举报

2

主题

13

帖子

38

积分

新手上路

Rank: 1

积分
38
发表于 2018-6-22 20:40:51 | 显示全部楼层
好恐怖的样子。。每天自动备份到ftp的路过。。
回复

使用道具 举报

8

主题

79

帖子

170

积分

注册会员

Rank: 2

积分
170
发表于 2018-6-22 20:48:52 | 显示全部楼层
阿里云香港服务器,47.52.241.29,先去找阿里的客服姐姐聊下天吧,告诉他们你要去工信部举报他们为违法内容提供服务器,提供技术支持
回复

使用道具 举报

42

主题

262

帖子

596

积分

高级会员

Rank: 4

积分
596
发表于 2018-6-22 20:41:34 | 显示全部楼层
为啥一定要用面板呢,非要用面板最好还是买个DA吧
回复

使用道具 举报

0

主题

37

帖子

94

积分

注册会员

Rank: 2

积分
94
发表于 2018-6-22 20:41:41 | 显示全部楼层
vestacp漏洞了解一下
回复

使用道具 举报

8

主题

79

帖子

170

积分

注册会员

Rank: 2

积分
170
发表于 2018-6-22 20:43:48 | 显示全部楼层
举报一波域名,记得要把他的其他域名也举报了,最好能加客服的qq时刻获取到他们的最新域名,然后去ddos群买个包月套餐,攻击一波这个网站

回复

使用道具 举报

5

主题

40

帖子

95

积分

注册会员

Rank: 2

积分
95
发表于 2018-6-22 20:45:26 | 显示全部楼层
LNMP很好用啊。功能也强大
回复

使用道具 举报

0

主题

2

帖子

6

积分

新手上路

Rank: 1

积分
6
发表于 2018-6-22 20:48:01 | 显示全部楼层


回复

使用道具 举报

41

主题

161

帖子

395

积分

中级会员

Rank: 3Rank: 3

积分
395
 楼主| 发表于 2018-6-22 20:54:48 | 显示全部楼层

无限啸傲 发表于 2018-6-22 20:41
vestacp漏洞了解一下

上次那个漏洞官方说修复过了...我还升级了QAQ
回复

使用道具 举报

0

主题

37

帖子

94

积分

注册会员

Rank: 2

积分
94
发表于 2018-6-22 20:41:00 | 显示全部楼层
我选择appnode面板
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋| 主机之家 |网站地图

返回顶部