共计 3276 个字符,预计需要花费 9 分钟才能阅读完成。
内容最后由 iloveloc 于 2022-11-17 11:44 编辑 事情见上一个帖子:https://369369.xyz/host/topic/1099167.html 晚上无聊,把网站访问日志下载下来看了看。对方(不确定是否同一人)一共在网站根目录放了 5 个新文件:hleps.php 11 月 8 日 打开后可读我服务器所有文件,对 wwwroot 目录下所有文件有写权限 show.php 11 月 8 日 打开后是个广告页,使用我服务器调用他的广告内容,然后返回给浏览器 post.php 11 月 8 日 打开后是个广告页,使用我服务器调用他的广告内容,然后返回给浏览器 vwQFV.php 11 月 12 日 应该是下载执行 http://77.73.133.99/trester,不知道具体是在我服务器执行还是在浏览器执行。wp-images.php 11 月 17 日 这个是最早出现的,还经常被修改,不知道来源。好像是用来上传其他文件的,上面的 4 个文件应该都是通过这个文件上传的。因为每次攻击者 post 这个路径后,都会紧跟着尝试访问另一个文件。有没有大佬有过类似的遭遇?。攻击者 IP:183.160.214.79 安徽省合肥市蜀山区 电信 这可能是攻击者最后用的 IP,这畜生可能是先用境外机器扫成功了才自己上手。他首次访问的是 aogSR.php,然后直接访问的 hleps.php 这个木马文件操纵的的服务器。其他的 IP 都是境外的 178.207.218.163 俄罗斯鞑靼斯坦共和国 185.242.181.33 意大利伦巴第米兰 仅一次 37.228.129.91 芬兰南芬兰赫尔辛基 仅一次 79.137.69.34 波兰马佐夫舍华沙 很多次,次数最多 89.191.253.39 俄罗斯 仅一次 178.207.218.163 俄罗斯鞑靼斯坦共和国 次数第二部分访问记录:79.137.69.34 – – [12/Nov/2022:05:49:59 +0800] "POST /wp-images.php HTTP/1.1" 200 263 "https://***.com/wp-images.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:106.0) Gecko/20100101 Firefox/106.0"79.137.69.34 – – [12/Nov/2022:05:51:19 +0800] "GET /vwQFV.php HTTP/1.1" 499 0 "https://***.com/vwQFV.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:106.0) Gecko/20100101 Firefox/106.0"178.207.218.163 – – [08/Nov/2022:03:29:52 +0800] "POST /wp-images.php HTTP/1.1" 200 262 "https://***.com/wp-images.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:106.0) Gecko/20100101 Firefox/106.0"178.207.218.163 – – [08/Nov/2022:03:29:54 +0800] "GET /aogSR.php HTTP/1.1" 200 4914 "https://***.com/aogSR.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:106.0) Gecko/20100101 Firefox/106.0"183.160.214.79 – – [08/Nov/2022:16:17:34 +0800] "GET /aogSR.php HTTP/2.0" 200 4895 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36"183.160.214.79 – – [08/Nov/2022:16:17:35 +0800] "GET /favicon.ico HTTP/2.0" 302 0 "https://***.com/aogSR.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36"183.160.214.79 – – [08/Nov/2022:16:17:35 +0800] "GET /wp-includes/images/w-logo-blue-white-bg.png HTTP/2.0" 200 4119 "https://***.com/aogSR.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36"183.160.214.79 – – [08/Nov/2022:16:17:43 +0800] "POST /aogSR.php HTTP/2.0" 200 4961 "https://***.com/aogSR.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36"183.160.214.79 – – [08/Nov/2022:16:17:47 +0800] "GET /hleps.php HTTP/2.0" 200 670 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36"183.160.214.79 – – [08/Nov/2022:16:17:53 +0800] "POST /hleps.php HTTP/2.0" 200 731 "https://***.com/hleps.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36"183.160.214.79 – – [08/Nov/2022:16:17:53 +0800] "GET /hleps.php?login=geturl HTTP/2.0" 200 913 "https://***.com/hleps.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36" 复制代码 中央银行 2022-11-17 11:44 2 上安全狗 pjk 2022-11-17 11:44 3 为啥没给你清空日志呢 iloveloc 2022-11-17 11:45 4 中央银行 发表于 2022-11-17 11:44 上安全狗有免费的吗?能不能给推荐一个?admin- 2022-11-17 11:45 5 哈哈哈 这安徽省合肥市蜀山区 代理都挂不明白学人日站。直接上传 PHP 那你问题有点大呀。中央银行 2022-11-17 11:47 6iloveloc 发表于 2022-11-17 11:45 有免费的吗?能不能给推荐一个?http://free.safedog.cn/ 免费 sanquanjun 2022-11-17 11:52 7WordPress 的话可以装个 Wordfence 插件试试?免费版也够用了 iloveloc 2022-11-17 11:54 8pjk 发表于 2022-11-17 11:44 为啥没给你清空日志呢可能是他只有写 wwwroot 的权限吧,没有 wwwlogs 的写权限。
