问: http://www.wanqulvxing.cn/被挂马 修复服务器漏洞 , http:www.wanqulvxing.cn被挂马 修复服务器漏洞
答:您好,
1、查看系统是正常的,现在您程序都是html的,无法核实到具体漏洞。这边将a、templets文件夹权限写入权限关闭了,可以在观察下。
2、但通过日志查看之前访问的页面都是php的程序,php的程序可以在本地下载一个护卫神云查杀软件进行扫描,找到具体的挂马文件,通过该文件的修改时间结合日志可以查询到其他后门文件。网站日志文件位置:
/home/www/wanqulvxing/logs
非常感谢您长期对我司的支持!
问:1.站点上全部是HTML文件,意思是站点不存在漏洞
2.日记我也看了 现在服务器上的PHP木马文件没有访问的痕迹 日记上很多是404的 也有200的 但是你看了对应的目录后发现根本没有这这些文件
3. 你还没帮我找出这些PHP木马文件是怎么进到我服务器的
所以麻烦帮找到根源
问:您好,重新核查了该程序,还是存在php木马文件,请核实查看以下文件,非常感谢您长期对我司的支持!
\\templets\\wanqu\\images\\showbg.php
\\templets\\wanqu\\style\\chdj.php
\\uploads\\190820\\190929\\1-1zu3.php
\\uploads\\191018\\qj2234y.php
\\uploads\\191021\\t.php
\\uploads\\191022\\r52s.php
\\uploads\\userup\\index.php
问:我知道这些地方有木马存在,因为我站点全部是html静态文件,我只要下载到本地查找php文件就看到了,现在的问题是这些木马是怎么挂上去的 ,这次工单的金牌服务是找出漏洞,也就是挂马的原因。
问:您好,抱歉,我司也只能检测和清理挂马文件,无法排查和修复程序漏洞
建议是可以通过wdcp开启站点访问日志,下次挂马时根据文件被修改时间去排查对应时间点的日志,看具体的URL请求是哪个,通过这个来排查一下
目前我司查看了对应时间点的日志,并未查看到异常,同时您如果程序不需要php运行,可以添加.htaccess,里面写入
# start disable script
SetEnvIf Request_URI "\\.php" bad_bot
# end disable script
去禁止
非常感谢您长期对我司的支持!
问:那你看能这样没有 www.wanqulvxing.cn这个站点 文件很少,而且全部是HTML的 你那边帮我下载下来 删掉里面的PHP文件 然后检测几天看看 因为这个挂马不是一两天了 都挂到我不敢上传PHP文件了 如此不安全的服务器难道贵公司就不想办法堵住漏洞吗
问:您好,非常抱歉,我司并不熟悉您的程序架构,建议您联系程序开发人员进行漏洞修复,,非常感谢您长期对我司的支持!
问: 我把原来的wanqulvxing 的文件夹全部删掉了 另外建了个wanqu的文件夹 作为站点的根目录 里面半个php文件都没得 也按照你的意思建了htaccess文件,如果再有挂马 你们要为自己产品的安全性负责 不要老说叫我检查程序 只负责提供硬件这些搪塞的话
问:您好,建立网站时,请把网站访问日志记录开启,文件上传始终是有路径的, 比如程序漏洞, ftp,都是有日志可查,wanqu如果只是一个子目录的,您网站其他目录下如果后门没清理干净,是随时可以往这个目录传文件/生成文件的, 您可以根据新文件生成时间去追查日志,非常感谢您长期对我司的支持!
问:www.wanqulvxing.cn又打不开了 帮看看
问: 又挂马了
问:您好,
/tmp目录下被上传了后门文件 通过日志分析1.php和a.php都是突然出现在目录里的,核实了wdapache日志,ftp日志,操作系统日志都未发现上传痕迹,目前猜测最大的可能是您删除文件前,有后门文件已经加载到内存在运行中,删除目录后未重启apache导致黑客程序再次生成了文件,目前重启了web服务,
另一方面, 通过云锁也设置了这个目录只读,
您首页目前被修改了,请连接云锁,先关闭防篡改,然后重新上传下index.html;再开启防篡改观察;
另外,您的密码比较弱,请修改一次设置复杂一点,包括ftp密码,wdcp登陆密码都修改一次,非常感谢您长期对我司的支持!
问:1.php 和a.php 都删了吗?
问:您好,都已经删除了, 您其他网站目录下有很多后门文件,已经帮您删除, 因为wdcp的apache都是共用www用户,后门文件可以跨站执行,这也可能是导致静态目录被生成后门文件的因素;
dedecms漏洞太多,建议如果不是经常更新网站的,用云锁把所有网站都加入防篡改模式,非常感谢您长期对我司的支持!
