Board logo

标题: [求助] 被入侵了!发现网站被入侵了! [打印本页]
作者: xiawei6863    时间: 2014-9-23 21:31     标题: 被入侵了!发现网站被入侵了!

今天发现网站被入侵了,被整站打包: 如图

a78978979.png
今天我回滚了数据,把系统盘数据回滚到21号,但是刚刚打开wdlinux,又发现了一个操作记录!

126系统用户增加mysql数据库 aaaaaa183.23.21.402014-09-23 19:57


图片附件: a78978979.png (2014-9-23 21:31, 48.88 KB) / 下载次数 9972
http://wdlinux.cn/bbs/attachment.php?aid=4818&k=7f3ca39ff74a7764689943c88035f3c0&t=1736596649&sid=TLmLal

作者: admin    时间: 2014-9-24 11:47

这么及时,一回滚了就马上来?
作者: xiawei6863    时间: 2014-9-24 12:22

我回滚了马上进去修改登录密码,然后查看日志就出现了。
作者: xiawei6863    时间: 2014-9-24 12:28

a999.png


回滚了马上进控制面料修改登录密码:
[tr=rgb(255,][/tr]
2014-09-23 19:52
52分修改的登录密码

19点57分左右:就出现系统用户增加数据库aaaaaa

[tr=rgb(255,][/tr]
2014-09-23 19:57


图片附件: a999.png (2014-9-24 12:29, 20.87 KB) / 下载次数 9626
http://wdlinux.cn/bbs/attachment.php?aid=4820&k=10cd6ae98bc42535d8ac2cec3da1a608&t=1736596649&sid=TLmLal

作者: zhoumo310    时间: 2014-9-24 13:43

被入侵了,老大。我也是同样的情况。先被人直接创建了一个可以管理wdcp自身数据库wdcpdb的数据库用户,然后再利用获得的root上传了一个文件(见图中序号194和195这两个)


QQ截图20140924132307.jpg


图片附件: QQ截图20140924132307.jpg (2014-9-24 13:43, 137.66 KB) / 下载次数 9980
http://wdlinux.cn/bbs/attachment.php?aid=4821&k=0eb0b2d7957d79ac8abfd48c546b86a4&t=1736596649&sid=TLmLal

作者: yangjiangh    时间: 2014-9-25 00:58

什么情况?真有这样的问题?
作者: impig33    时间: 2014-9-25 15:06

phpmyadmin还是删掉吧,感觉好危险
作者: impig33    时间: 2014-9-25 15:31

进shell,打命令last,看看进系统的ip有没有异常
作者: 0215    时间: 2014-9-25 21:56

我和你一样!也是多了这么有什么“系统用户”,提了权肆虐我的后台!
作者: 0215    时间: 2014-9-25 22:20

我问一下你,phpmyadmin里面可以看到有一个wdcpdb的数据库,这个是默认的还是黑客创建的提权数据库?
作者: admin    时间: 2014-9-26 11:56

http://www.wdlinux.cn/bbs/thread-37476-1-1.html



欢迎光临 WDlinux官方论坛 (http://wdlinux.cn/bbs/) Powered by Discuz! 7.2