問:服務器里所有靜態網站都可以訪問,但是目錄下會有PHP文件存在,我沒動他們還留著方便你們處理,而其他PHP程序的網站首頁打開都空白了,估計是PHP版本不對導致的問題,但是掛馬是存在的,如果是單個站點可以判斷是程序漏洞,現在基本所有站點都被上傳了惡意PHP文件,我用的是寶塔面板,沒有開FTP,面板啟用雙重認證,站點就兩個程序(www.lovove.com,idc.lovove.com)都出問題了,這次估計就是針對WP程序搞的,WP程序都是最新版了,另外一個PHP程序(web.lovove.cn)不是WP所以沒事,目前應該可以判斷是服務器被入侵了。,服務器被黑了
答:您好,目前查看了服務器上沒有異常用戶,麻煩提供下寶塔登陸的賬號和密碼,以便我司核實,非常感謝您長期對我司的支持!
問:sun touno zhimakaimen
問:一二賬密如上,寶塔日志看了一下是正常的,操作網站目錄是以為網站模板出了問題或者插件,但排查一下發現不是,然后才想起檢查配置文件,發現目錄下多出很多不認識PHP文件,然后習慣性查看其他網站,發現都是一樣被上傳了PHP文件,從文件時間分析,是昨天被黑的
答:您好,寶塔測試登陸不了,根據您描述的情況很有可能是某個網站程序有漏洞導致其他文件權限被提權,這種只有在服務器管理里的云快照里回滾近期的備份,然后聯系程序提供商核查下程序漏洞進行修復,服務器安全方面可以安裝一些安全軟件:云鎖、服務器安全狗等,非常感謝您長期對我司的支持!
問:賬戶sun密碼:**********…賬戶touno密碼… 訪問地址后是就你第一張圖的地址是正確的。 程序都是wp最新版本,按道理說不應該存在漏洞,剩下的大多數是靜態HTML,服務器沒開FTP權限,建議掃下服務器是不是存在其他漏洞,同樣的wp最新版我阿里云那邊是正常的,也是這些模板插件,看看有沒有機房的其他外人去動服務器這些,服務器也就這幾個網站,兩個wp網站一個網站,其他都是HTML頁面,而且三個程序都是最新版。
問:Typecho 這個站是web.lovove.cn 這個站目前可以訪問,是安全的
答:您好,輸入寶塔賬號和密碼會跳轉到http://127.0.0.1:8893/login這個地址無法正常登陸進去,您可以下載安裝云鎖或者服務器安全狗,然后掃描下整個系統,但不一定能都掃描出來,最好是恢復下之前快照或者重裝下系統,非常感謝您長期對我司的支持!
問:sun 是第一個口令的 touno是控制面板的…怎么可能錯誤呢
問:你要是昨天一開始叫我滾回快照那還好,現在過了一天8號的快照沒了。。。
答:您好,檢查服務器沒有被黑跡象,寶塔因為是使用的共用賬號www運行的所有網站,所以只要有一個網站被黑,其它網站全部可以控制,建議最好使用我司提供的建站管理助手創建網站,每個網站是獨立的權限,另外我司掛載了9號的快照,發現文件正常,建議直接恢復9號的數據盤快照即可,另外如果您要具體詳查下原因,建議恢復前先把D:\\BtSoft\\wwwlogs日志備份到桌面,另外分析下9號當天所有網站的日志,非常感謝您長期對我司的支持!
問:我在對www.lovove.com 做主要壓縮備份,等壓縮好我下載到本地備份后,希望你們能幫我滾動到正常的快照,謝謝。目前先這樣子處理,我現在本地先搭建環境方便測試。
答:您好,快照您可以自己操作回滾,登錄我司后臺[管理中心]-業務管理-服務器管理-管理-快照,里面可以操作,非常感謝您長期對我司的支持!
問:已經排查了,程序均是最新版是不應該存在漏洞的,如果真存在,也不會只對我這個小站入手,西數的DOC站點也是WP,而且模板商我跟西數也都是同一家,我是花錢買的正版模板,目前站點內所有插件刪除,任然還會繼續復制,被修改和新增文件我都替換修改過了,問題依舊,目測這個入侵的人是拿到了服務器權限了,網站設置只讀都能復制寫入文件,這個服務器是你們西數自己的人在機房看管的嗎?還是托管的?
問:技術在線就快點回答,聽你們技術說,9日快照那份是正常的,我等到十一點十五分左右準備做回滾操作了,但是如果服務器依然存在問題,那么這個問題還是沒有解決~比較PHP程序就那三個站,都是最新版和最新版,我阿里、騰訊云那邊也都是用這些程序 也都是第一時間更新版本,都沒出現問題,現在這個情況確實惡心。。。最近還要去醫院照顧老人實在精力匱乏
答:您好,查看服務器沒有被黑的現象,查看用戶已經掛載了9日的備份,您可先備份異常的文件目錄,然后從9號的數據備份盤里拷貝數據到站點目錄其次,查看部分目錄是針對www給了所有權限,這樣相對來說是不安全的,建議可根據實際情況調整,只需要把部分需要寫入的目錄設置寫入權限,其他目錄設置只讀權限,其次服務器內可安裝云鎖等安全軟件,用戶可在本地安裝云鎖客戶端,然后設置文件防篡改功能,避免一些程序被修改,服務器客戶租用后,我司并不會直接管理用戶的服務器,服務器內的一些安全等管理維護工作,需要用戶平時多花一些時間管理維護,非常感謝您長期對我司的支持.由此給您帶來的不便之處,敬請原諒!謝謝!
問:沒時間了,先執行回滾操作先,完事我再備份數據重新部署環境
答:您好,查看已經執行回滾成功,請盡快備份文件后重新部署環境,非常感謝您長期對我司的支持.由此給您帶來的不便之處,敬請原諒!謝謝!
問:已經完成了嗎?我這邊狀態變化我看到的是執行中??
問:技術小哥!我估摸著今晚得去醫院看護,那個幫我關注下回滾進度,因為我懷疑服務器還是存在漏洞的,所以回滾操作如果完成,那么請幫我關機,別讓那個入侵的有機會對服務器下手,等我明天或者晚點換人的時候,我再過來弄~謝謝了,我會在手機下關注進度的,麻煩了
問:http://www.shinetop.cn/manager/server/setmod_state.asp?id=77140 服務器狀態
或者遠程訪問服務器看能不能進去可以判斷回滾是否完成,因為要關機所以遠程訪問看看能不能進去,順便關機操作~
答:您好,抱歉,查看已經執行回滾完畢,并登陸系統為您關機,請有空再通過業務管理–服務器管理–管理–重啟–開機后管理服務器,非常感謝您長期對我司的支持.由此給您帶來的不便之處,敬請原諒!謝謝!
問:這臺服務器目前在用百度網盤備份數據,可能會對磁盤進行較大的讀寫,發個工單給你們報備下,需要備份數據有近190GB左右
答:您好,目前查看此服務器沒有磁盤io較高的報警提示,您可盡快備份使用即可,非常感謝您長期對我司的支持.由此給您帶來的不便之處,敬請原諒!謝謝!
三五互聯(35.com)是經工信部、ICANN、CNNIC認證審批,持有ISP、云牌照、IDC、CDN、頂級域名注冊商等全業務資質的正規老牌服務商,自成立至今20余年專注于域名注冊、虛擬主機、云服務器、企業郵箱、企業建站等互聯網基礎服務!
截止目前,已經為超過2000萬個域名提供了注冊、解析等服務,是中國五星級域名注冊注冊商!已為超過50萬個網站提供了高速穩定的云托管服務,獲評中國最受用戶喜歡云主機服務商。
三五互聯提供全方位7X24H專業售后支撐,域名注冊特價1元起,高速穩定云主機45元起,更多詳情請瀏覽三五互聯官網:http://www.shinetop.cn/