問: http://www.wanqulvxing.cn/被掛馬 修復服務器漏洞 , http:www.wanqulvxing.cn被掛馬 修復服務器漏洞
答:您好,
1、查看系統是正常的,現在您程序都是html的,無法核實到具體漏洞。這邊將a、templets文件夾權限寫入權限關閉了,可以在觀察下。
2、但通過日志查看之前訪問的頁面都是php的程序,php的程序可以在本地下載一個護衛神云查殺軟件進行掃描,找到具體的掛馬文件,通過該文件的修改時間結合日志可以查詢到其他后門文件。網站日志文件位置:
/home/www/wanqulvxing/logs
非常感謝您長期對我司的支持!
問:1.站點上全部是HTML文件,意思是站點不存在漏洞
2.日記我也看了 現在服務器上的PHP木馬文件沒有訪問的痕跡 日記上很多是404的 也有200的 但是你看了對應的目錄后發現根本沒有這這些文件
3. 你還沒幫我找出這些PHP木馬文件是怎么進到我服務器的
所以麻煩幫找到根源
問:您好,重新核查了該程序,還是存在php木馬文件,請核實查看以下文件,非常感謝您長期對我司的支持!
\\templets\\wanqu\\images\\showbg.php
\\templets\\wanqu\\style\\chdj.php
\\uploads\\190820\\190929\\1-1zu3.php
\\uploads\\191018\\qj2234y.php
\\uploads\\191021\\t.php
\\uploads\\191022\\r52s.php
\\uploads\\userup\\index.php
問:我知道這些地方有木馬存在,因為我站點全部是html靜態文件,我只要下載到本地查找php文件就看到了,現在的問題是這些木馬是怎么掛上去的 ,這次工單的金牌服務是找出漏洞,也就是掛馬的原因。
問:您好,抱歉,我司也只能檢測和清理掛馬文件,無法排查和修復程序漏洞
建議是可以通過wdcp開啟站點訪問日志,下次掛馬時根據文件被修改時間去排查對應時間點的日志,看具體的URL請求是哪個,通過這個來排查一下
目前我司查看了對應時間點的日志,并未查看到異常,同時您如果程序不需要php運行,可以添加.htaccess,里面寫入
# start disable script
SetEnvIf Request_URI "\\.php" bad_bot
# end disable script
去禁止
非常感謝您長期對我司的支持!
問:那你看能這樣沒有 www.wanqulvxing.cn這個站點 文件很少,而且全部是HTML的 你那邊幫我下載下來 刪掉里面的PHP文件 然后檢測幾天看看 因為這個掛馬不是一兩天了 都掛到我不敢上傳PHP文件了 如此不安全的服務器難道貴公司就不想辦法堵住漏洞嗎
問:您好,非常抱歉,我司并不熟悉您的程序架構,建議您聯系程序開發人員進行漏洞修復,,非常感謝您長期對我司的支持!
問: 我把原來的wanqulvxing 的文件夾全部刪掉了 另外建了個wanqu的文件夾 作為站點的根目錄 里面半個php文件都沒得 也按照你的意思建了htaccess文件,如果再有掛馬 你們要為自己產品的安全性負責 不要老說叫我檢查程序 只負責提供硬件這些搪塞的話
問:您好,建立網站時,請把網站訪問日志記錄開啟,文件上傳始終是有路徑的, 比如程序漏洞, ftp,都是有日志可查,wanqu如果只是一個子目錄的,您網站其他目錄下如果后門沒清理干凈,是隨時可以往這個目錄傳文件/生成文件的, 您可以根據新文件生成時間去追查日志,非常感謝您長期對我司的支持!
問:www.wanqulvxing.cn又打不開了 幫看看
問: 又掛馬了
問:您好,
/tmp目錄下被上傳了后門文件 通過日志分析1.php和a.php都是突然出現在目錄里的,核實了wdapache日志,ftp日志,操作系統日志都未發現上傳痕跡,目前猜測最大的可能是您刪除文件前,有后門文件已經加載到內存在運行中,刪除目錄后未重啟apache導致黑客程序再次生成了文件,目前重啟了web服務,
另一方面, 通過云鎖也設置了這個目錄只讀,
您首頁目前被修改了,請連接云鎖,先關閉防篡改,然后重新上傳下index.html;再開啟防篡改觀察;
另外,您的密碼比較弱,請修改一次設置復雜一點,包括ftp密碼,wdcp登陸密碼都修改一次,非常感謝您長期對我司的支持!
問:1.php 和a.php 都刪了嗎?
問:您好,都已經刪除了, 您其他網站目錄下有很多后門文件,已經幫您刪除, 因為wdcp的apache都是共用www用戶,后門文件可以跨站執行,這也可能是導致靜態目錄被生成后門文件的因素;
dedecms漏洞太多,建議如果不是經常更新網站的,用云鎖把所有網站都加入防篡改模式,非常感謝您長期對我司的支持!