今天朋友说网站打开异常,什么链接都是同一个界面。
ssh连上服务器之后查看文件修改时间:
ls -al
发现index.php近来有修改,还多了两个文件,这很不正常。
可以确定是被人入侵了。
vim index.php查看
首页被人替换成了静态首页代码
还加了料
vim ppx.php
里面是一句话木马,皮皮虾,呵呵...
还要一个txt文本,
说thinkcmf getshell test...
-----------------------------------------------------------------------------------------------
本想cd /alidata/log/nginx/access/查看访问日志,
vim access.log
奈何文件太大,服务器带宽太差
想跳到最后
:$
去看最新日志都不行
service nginx stop
mv access.log access.log.bak
打包挂机下载
-----------------------------------------------------------------------------------------------
先分析了系统有哪些用户
w
who
...
然后是查看登录日志
last
未见异常
-----------------------------------------------------------------------------------------------
查看删除文件:
[root@iZ25x6us5vmZ ~]# df
Filesystem 1K-blocks Used Available Use% Mounted on
/dev/vda1 41282880 17417616 21768216 45% /
tmpfs 510136 0 510136 0% /dev/shm
[root@iZ25x6us5vmZ ~]# debugfs
debugfs 1.41.12 (17-May-2010)
debugfs: open /dev/vda1
debugfs: ls -d /alidata/www/
656302 (12) . 655634 (12) .. 428715 (24) index.php
658211 (20) bh_manager 656400 (40) ppx.php
<656443> (24) .README1.txt.swp 658216 (12) api
658303 (20) application 658627 (20) config.yaml 658629 (12) data
658759 (40) Document.url <656448> (20) README1.txt~
658763 (20) Nginx.conf 658765 (16) plugins
658806 (28) sae_app_wizard.xml 658808 (20) simplewind
659360 (16) statics 660513 (12) tpl 660837 (20) tpl_admin
656458 (24) watermark.png 656565 (36) .htaccess
<656460> (16) test.php 656992 (24) 8ed19a33d2.txt
1073727 (20) _fsbhmydata 656444 (20) README1.txt
656322 (20) favicon.ico 660506 (3608) jd_root.txt
<656445> (3588) .README1.txt.swx <2021094190> (24) bt_verify.php
<656462> (16) db.php <656463> (16) ls.php <656464> (3492) uad.php
<656466> (3476) hongx.php
带挎号的<>是删除了的
-----------------------------------------------------------------------------------------------
查看最近30天的修改
cd /alidata/www
[root@iZ25x6us5vmZ www]# find . -type f -mtime -30
./README1.txt
./data/runtime/Html/portal/index.html
./data/runtime/Html/portal/index_mobile.html
./data/runtime/Cache/Asset/5e14e04acef7a02d1b849edb64940f3c.php
./data/runtime/Cache/House/d21c961a0f7a1d8a78e98dc138060569.php
...
./data/runtime/Cache/Portal/880881b0eb19249a39b628bdd99da710.php
./data/runtime/Cache/Index/''ce5f0951d288f65363c42499586a024a.php
./data/runtime/Cache/Index/50d5da1ab41efaf93d0c796677942072.php
./data/runtime/Logs/House/19_11_13.log
......
./data/runtime/Logs/Portal/19_10_26.log
./data/upload/5dbbb276c1d91.jpg
./data/conf/db.php
./index.php
./_mydata/examples/create_tables.php
./ppx.php
查看标红的文件,的确是后门木马
-----------------------------------------------------------------------------------------------
搜了一下最近的thinkcmf漏洞,发现这个月有个相关漏洞:ThinkCMF框架任意内容包含漏洞
https://www.freebuf.com/vuls/218105.html
https://www.cnblogs.com/mark-zh/p/11737823.html
日志都不用分析了,确定是这个漏洞导致的入侵,立马删木马后门,修复之。
日志后面看了下,验证了上面说的
那条狗用了代理,技术不够无法追下去了...
-----------------------------------------------------------------------------------------------