服务器被黑客入侵了~咋搞 https://www.dalao.net/thread-37199.htm
(出处: 大佬论坛)

 

查了日志，发现如下：a网站

117.140.244.127	
2024-11-08 14:49:56
POST
/index.php/Plugins/update.html
200
--
115 B
http://domain/Plugins/update.html
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
117.140.244.127	
2024-11-08 14:50:00
GET
/*/exts/xm1.php

 

根据上面日志，可以看出是通过网站后台更新/下载插件方式把压缩包上传到服务器目录。由于更新/下载插件会自动解压压缩包。后面就通过xm1.php文件执行webshell命令达到批量复制文件到所有网站目录中。【通过使用 蚁剑工具连接xm1.php，是可以获取到服务器所有目录、文件。】

 

结合后面其他网站的日志查看，在2024-11-08 17:51:45前后几秒内多个网站的xm1.php文件被访问。其中一个被多次访问，且通过xm1.php文件上传新的php文件 promotea.php?ote。这个页面是一个webshell的控制页面。这个网站的所有html页面顶部都被加入跳转赌博网站代码了。【通过后台访问这个文件，是可以获取到当前网站目录所有文件。】

b网站

180.97.189.139	
2024-11-08 17:54:41
GET
/static/upload/2024/11/promotea.php
200
--
31 B
--
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0

180.97.189.139	
2024-11-08 17:54:47
GET
/static/upload/2024/11/promotea.php?ote
200
--
3.07 kB
--
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0

180.97.189.139	
2024-11-08 17:55:39
POST
/static/upload/2024/11/promotea.php?ote
200
--
4.1 kB
http://domain/static/upload/2024/11/promotea.php?ote
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
180.97.189.139	
2024-11-08 17:55:45
POST
/static/upload/2024/11/promotea.php?ote
200
--
4.08 kB
http://domain/static/upload/2024/11/promotea.php?ote
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
180.97.189.139	
2024-11-08 17:56:34
GET
/
200
--
3.05 kB
--
Mozilla/5.0 (Windows NT 10.0; 

 

根据上面两个日志，可以得出木马文件是通过a网站后台弱密码登录，上传压缩包。复制到所有目录。也开启的防跨站，后面测试发现，使用php70版本，防跨站是失效的。使用php7.4之后，使用 蚁剑工具 就无法突破本站点。

如果使用宝塔海外版，建议不要使用php7.0，防跨站设置是无效的。