朋友网站被入侵分析

其他 2020-02-09 10:30:53 阅读次数: 0

今天朋友说网站打开异常,什么链接都是同一个界面。

ssh连上服务器之后查看文件修改时间:

ls -al

发现index.php近来有修改,还多了两个文件,这很不正常。

可以确定是被人入侵了。

vim index.php查看

首页被人替换成了静态首页代码

还加了料

vim ppx.php

里面是一句话木马,皮皮虾,呵呵...

还要一个txt文本,

说thinkcmf getshell test...

-----------------------------------------------------------------------------------------------

本想cd /alidata/log/nginx/access/查看访问日志,

vim access.log

奈何文件太大,服务器带宽太差

想跳到最后

:$

去看最新日志都不行

service nginx stop

mv access.log access.log.bak

打包挂机下载

-----------------------------------------------------------------------------------------------

先分析了系统有哪些用户

w

who

...

然后是查看登录日志

last

未见异常

-----------------------------------------------------------------------------------------------

查看删除文件:

[root@iZ25x6us5vmZ ~]# df
Filesystem     1K-blocks     Used Available Use% Mounted on
/dev/vda1       41282880 17417616  21768216  45% /
tmpfs             510136        0    510136   0% /dev/shm
[root@iZ25x6us5vmZ ~]# debugfs
debugfs 1.41.12 (17-May-2010)
debugfs:  open /dev/vda1
debugfs:  ls -d /alidata/www/
 656302  (12) .    655634  (12) ..    428715  (24) index.php   
 658211  (20) bh_manager    656400  (40) ppx.php   
<656443> (24) .README1.txt.swp    658216  (12) api   
 658303  (20) application    658627  (20) config.yaml    658629  (12) data   
 658759  (40) Document.url   <656448> (20) README1.txt~   
 658763  (20) Nginx.conf    658765  (16) plugins   
 658806  (28) sae_app_wizard.xml    658808  (20) simplewind   
 659360  (16) statics    660513  (12) tpl    660837  (20) tpl_admin   
 656458  (24) watermark.png    656565  (36) .htaccess   
<656460> (16) test.php    656992  (24) 8ed19a33d2.txt   
 1073727  (20) _fsbhmydata    656444  (20) README1.txt   
 656322  (20) favicon.ico    660506  (3608) jd_root.txt   
<656445> (3588) .README1.txt.swx   <2021094190> (24) bt_verify.php   
<656462> (16) db.php   <656463> (16) ls.php   <656464> (3492) uad.php   
<656466> (3476) hongx.php   

带挎号的<>是删除了的

-----------------------------------------------------------------------------------------------

查看最近30天的修改

cd /alidata/www

[root@iZ25x6us5vmZ www]# find . -type f -mtime -30
./README1.txt
./data/runtime/Html/portal/index.html
./data/runtime/Html/portal/index_mobile.html
./data/runtime/Cache/Asset/5e14e04acef7a02d1b849edb64940f3c.php
./data/runtime/Cache/House/d21c961a0f7a1d8a78e98dc138060569.php

...
./data/runtime/Cache/Portal/880881b0eb19249a39b628bdd99da710.php
./data/runtime/Cache/Index/''ce5f0951d288f65363c42499586a024a.php
./data/runtime/Cache/Index/50d5da1ab41efaf93d0c796677942072.php
./data/runtime/Logs/House/19_11_13.log
......
./data/runtime/Logs/Portal/19_10_26.log
./data/upload/5dbbb276c1d91.jpg
./data/conf/db.php
./index.php
./_mydata/examples/create_tables.php
./ppx.php

查看标红的文件,的确是后门木马

-----------------------------------------------------------------------------------------------

搜了一下最近的thinkcmf漏洞,发现这个月有个相关漏洞:ThinkCMF框架任意内容包含漏洞

https://www.freebuf.com/vuls/218105.html

https://www.cnblogs.com/mark-zh/p/11737823.html

日志都不用分析了,确定是这个漏洞导致的入侵,立马删木马后门,修复之。

日志后面看了下,验证了上面说的

那条狗用了代理,技术不够无法追下去了...

-----------------------------------------------------------------------------------------------

马克88
发布了69 篇原创文章 · 获赞 31 · 访问量 8万+
私信 关注

猜你喜欢

转载自blog.csdn.net/yyws2039725/article/details/103190874
今日推荐
技术解析 GPT-4o:即时语音交互的突破与 GenAI 发展策略
开源大模型与闭源大模型
微信小程序授权登录获取用户的openid
亿级流量系统架构设计与实战
人工智能时代的程序设计教学与课程设计
纽交所技术问题致伯克希尔 (BRK.A) 显示跌近 100%
探索 api.maynor1024.live:一站式 AI 服务平台
AI一键去衣技术:窥见深度学习在图像处理领域的革命(最后有彩蛋)
艾体宝案例 | 使用Redis和Spring Ai构建rag应用程序
Apple M1 vs 高通8Gen2 vs Apple A12Z各方面比较
【升职加薪必备架构图】Springboot学习路线汇总_springboot四层架构流程图
与Apollo共创生态:Apollo7周年大会自动驾驶生态利剑出鞘
周排行
timesten性能问题分析
hdu1017A Mathematical Curiosity
利用FragmentTabHost和ViewPager来实现可滑动切换的页面
哪里找卖百度云资源
大数据技能图谱
PHP设计模式(5)—— 观察者模式
python list删除元素是要注意的坑点
TPM简介
并查集 擒贼先擒王//解密犯罪团伙
码农也要修身
每日归档
更多
2024-06-04(10)
2024-06-03(52)
2024-06-02(4)
2024-06-01(60)
2024-05-31(47)
2024-05-30(4)
2024-05-29(65)
2024-05-28(2)
2024-05-27(56)
2024-05-26(6)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022