第三次入侵(2018 年 7 月 31 日下午约 10 点)
同样的JS挂马方式。
第二次被挂马!( 2018/6/17 19:55)
又被同一家博彩网站攻破了…这次更过分。下图。
检查之后发现有三个文件受到了非礼。并且检查了1001这个用户组和日志后并没有发现什么不对的地方。
这次可以说是非常过分了。直接清空了我的index.php并且还弄了个index.html在根目录。查看da.php的内容发现了可恶的后门:
- PHP Eval函数:将字符串当做代码执行。
那么这一段就是很简单的把远程Post过来的pp字段当做命令来执行了。
从备份里还原了文件,把文件权限降到了655。暂时逃过一劫把orz
以下是第一次被挂马的故事_(:з」∠)_
最近发现中文站从百度打开会跳转到某博彩网站。一开始很是气愤以为是运营商挟持,之后从国外的服务器上从百度访问依旧会被跳转。这才发现应该是被挂马了。
查看网页源代码后发现被加入了下面这段JS:
这样的挂马当然不可能一个个去翻文件,于是SSH到服务器进入目录后。
[blockquote source=”Name of the source”]find ./ -name “*” | xargs grep “要查找的内容”[/blockquote]
其中:
- ./代表了要查找的目录。这里是当前目录。
- “*”是指要查找的文件名。这里是所有文件。
之后会输出所有包含目标文本的文件。编辑删除后就恢复正常了。
这个估计是Typecho上次爆出的install/index.php的漏洞造成的。那个时候忙了一阵子居然忘记给中文站修复那个漏洞了_(:з」∠)_
总之,危机解除。
