服务器被黑客入侵了~有大佬知道咋放进去的嘛
网址
(出处: 全球主机交流论坛)
查了日志,发现如下:a 网站
[ol]117.140.244.127
2024-11-08 14:49:56
POST
/index.php/Plugins/update.html
200
--
115 B
http://domain/Plugins/update.html
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
117.140.244.127
2024-11-08 14:50:00
GET
/*/exts/xm1.php[/ol]复制代码
根据上面日志,可以看出是通过网站后台更新 / 下载插件方式把压缩包上传到服务器目录。由于更新 / 下载插件会自动解压压缩包。后面就通过 xm1.php 文件执行 webshell 命令达到批量复制文件到所有网站目录中。【通过使用 蚁剑工具连接 xm1.php,是可以获取到服务器所有目录、文件。】
结合后面其他网站的日志查看,在 2024-11-08 17:51:45 前后几秒内多个网站的 xm1.php 文件被访问。其中一个被多次访问,且通过 xm1.php 文件上传新的 php 文件 promotea.php?ote。这个页面是一个 webshell 的控制页面。这个网站的所有 html 页面顶部都被加入跳转赌博网站代码了。【通过后台访问这个文件,是可以获取到当前网站目录所有文件。】
b 网站
[ol]180.97.189.139
2024-11-08 17:54:41
GET
/static/upload/2024/11/promotea.php
200
--
31 B
--
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
180.97.189.139
2024-11-08 17:54:47
GET
/static/upload/2024/11/promotea.php?ote
200
--
3.07 kB
--
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
180.97.189.139
2024-11-08 17:55:39
POST
/static/upload/2024/11/promotea.php?ote
200
--
4.1 kB
http://domain/static/upload/2024/11/promotea.php?ote
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
180.97.189.139
2024-11-08 17:55:45
POST
/static/upload/2024/11/promotea.php?ote
200
--
4.08 kB
http://domain/static/upload/2024/11/promotea.php?ote
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
180.97.189.139
2024-11-08 17:56:34
GET
/
200
--
3.05 kB
--
Mozilla/5.0 (Windows NT 10.0; [/ol]复制代码
根据上面两个日志,可以得出木马文件是通过 a 网站后台弱密码登录,上传压缩包。复制到所有目录。进一步在b网站中上传webshell控制面板。也开启的防跨站,后面测试发现,使用 php70 版本,防跨站是失效的。使用 php7.4 之后,使用 蚁剑工具 就无法突破本站点。
如果使用宝塔海外版,建议不要使用 php7.0,防跨站设置是无效的。
