BigBug 发表于 2024-4-25 12:54:50

经常隔三差五被菠菜挂马

<i class="pstatus"> 本帖最后由 BigBug 于 2024-4-25 13:16 编辑 </i><br />
<br />
服务器基本都是大厂的&nbsp;&nbsp;镜像也是大厂的&nbsp; &nbsp;网站用的程序也是主流正版的&nbsp; &nbsp;bt也是,我现在怀疑是bt的某个漏洞&nbsp;&nbsp;大概看了一下&nbsp;&nbsp;他直接绕过了www权限&nbsp;&nbsp;给每一个网站的目录下都上传了一个wuti.php小马 然后上传的一大堆乱七八糟的<br />
<br />
好困扰<br />
<br />
<br />
<br />
谢谢各位的解答&nbsp;&nbsp;看完你们的评论感觉确实可能是php跨目录了。<br />
服务器中所放程序有三个cms厂家的<br />
易优cms<br />
云优cms<br />
逗号cms<br />

icon 发表于 2024-4-25 12:56:49

通常这个都是php站的问题<br />
bt要是有这0day漏洞,你知道值多少钱吗?你不够格使用。

BigBug 发表于 2024-4-25 13:01:07

<div class="quote"><blockquote><font size="2"><a href="https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=15481076&ptid=1300083" target="_blank"><font color="#999999">icon 发表于 2024-4-25 12:56</font></a></font><br />
通常这个都是php站的问题<br />
bt要是有这0day漏洞,你知道值多少钱吗?你不够格使用。 ...</blockquote></div><br />
很多空网站,就是没放任何东西的 连域名都没解析的也被上传了小马

txjcv 发表于 2024-4-25 12:56:00

一般不用bt面板

1121744186 发表于 2024-4-25 13:04:19

<div class="quote"><blockquote><font size="2"><a href="https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=15481086&ptid=1300083" target="_blank"><font color="#999999">BigBug 发表于 2024-4-25 13:01</font></a></font><br />
很多空网站,就是没放任何东西的 连域名都没解析的也被上传了小马</blockquote></div><br />
php 跨目录了,而且宝塔的权限安全性基本也没啥安全性

icon 发表于 2024-4-25 13:08:11

<div class="quote"><blockquote><font size="2"><a href="https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=15481086&ptid=1300083" target="_blank"><font color="#999999">BigBug 发表于 2024-4-25 13:01</font></a></font><br />
很多空网站,就是没放任何东西的 连域名都没解析的也被上传了小马</blockquote></div><br />
网站通常都是一个owner,只要一个突破,所有的都破了。遍历一下/www/wwwroot什么的就好了,然后每个都加个小马进去。这个并不能表明是bt的问题。<br />
你可以试试在防火墙上把bt的端口限制成你只可以访问,或者直接关掉bt面板,这样来排除bt的问题<br />
但还是我前面那话,如果bt有这种0day,你不会是目标,正如linux如果有新的remote的0day,这些黑市都是价值数百万美金的东西,不值用在你身上,需要是高价值目标。<br />
<br />

饕餮 发表于 2024-4-25 13:01:00

什么程序?感觉程序的问题比较大,同宝塔做好基本防护没啥问题

yexin 发表于 2024-4-25 13:08:16

有过同样问题,有可能你的木马没有清理干净,他会藏很多木马在很细小的路径里,也许你现在的网站源码没问题了,但是当时有问题的时候他隐藏了很多

BigBug 发表于 2024-4-25 13:01:00

<div class="quote"><blockquote><font size="2"><a href="https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=15481116&ptid=1300083" target="_blank"><font color="#999999">yexin 发表于 2024-4-25 13:15</font></a></font><br />
有过同样问题,有可能你的木马没有清理干净,他会藏很多木马在很细小的路径里,也许你现在的网站源码没问题 ...</blockquote></div><br />
谢谢各位的解答&nbsp;&nbsp;看完你们的评论感觉确实可能是php跨目录了。<br />
服务器中所放程序有三个cms厂家的<br />
易优cms<br />
云优cms<br />
逗号cms

BigBug 发表于 2024-4-25 13:10:07

<div class="quote"><blockquote><font size="2"><a href="https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=15481106&ptid=1300083" target="_blank"><font color="#999999">icon 发表于 2024-4-25 13:08</font></a></font><br />
网站通常都是一个owner,只要一个突破,所有的都破了。遍历一下/www/wwwroot什么的就好了,然后每个都加 ...</blockquote></div><br />
谢谢各位的解答&nbsp;&nbsp;看完你们的评论感觉确实可能是php跨目录了。<br />
服务器中所放程序有三个cms厂家的<br />
易优cms<br />
云优cms<br />
逗号cms.
页: [1]
查看完整版本: 经常隔三差五被菠菜挂马