第三次入侵(2018 年 7 月 31 日下午约 10 点)

同样的JS挂马方式。

 

第二次被挂马!( 2018/6/17 19:55)

又被同一家博彩网站攻破了...这次更过分。下图。

检查之后发现有三个文件受到了非礼。并且检查了1001这个用户组和日志后并没有发现什么不对的地方。

这次可以说是非常过分了。直接清空了我的index.php并且还弄了个index.html在根目录。查看da.php的内容发现了可恶的后门:

  • PHP Eval函数:将字符串当做代码执行。

那么这一段就是很简单的把远程Post过来的pp字段当做命令来执行了。

 

从备份里还原了文件,把文件权限降到了655。暂时逃过一劫把orz

 

以下是第一次被挂马的故事_(:з」∠)_


最近发现中文站从百度打开会跳转到某博彩网站。一开始很是气愤以为是运营商挟持,之后从国外的服务器上从百度访问依旧会被跳转。这才发现应该是被挂马了。

查看网页源代码后发现被加入了下面这段JS:

这样的挂马当然不可能一个个去翻文件,于是SSH到服务器进入目录后。

find ./  -name "*" | xargs grep "要查找的内容"Name of the source

其中:

  • ./代表了要查找的目录。这里是当前目录。
  • "*"是指要查找的文件名。这里是所有文件。

之后会输出所有包含目标文本的文件。编辑删除后就恢复正常了。

这个估计是Typecho上次爆出的install/index.php的漏洞造成的。那个时候忙了一阵子居然忘记给中文站修复那个漏洞了_(:з」∠)_

 

总之,危机解除。


午夜零点的帷幕彼方,难消之恨,愿为消之。