经常隔三差五被菠菜挂马

BigBug

本帖最后由 BigBug 于 2024-4-25 13:16 编辑

服务器基本都是大厂的  镜像也是大厂的   网站用的程序也是主流正版的   bt也是，我现在怀疑是bt的某个漏洞  大概看了一下  他直接绕过了www权限  给每一个网站的目录下都上传了一个wuti.php小马 然后上传的一大堆乱七八糟的

好困扰



谢谢各位的解答  看完你们的评论感觉确实可能是php跨目录了。
服务器中所放程序有三个cms厂家的
易优cms
云优cms
逗号cms

icon

通常这个都是php站的问题
bt要是有这0day漏洞，你知道值多少钱吗？你不够格使用。

BigBug

icon 发表于 2024-4-25 12:56

通常这个都是php站的问题
bt要是有这0day漏洞，你知道值多少钱吗？你不够格使用。 ...
很多空网站，就是没放任何东西的 连域名都没解析的也被上传了小马

txjcv

一般不用bt面板

1121744186

BigBug 发表于 2024-4-25 13:01

很多空网站，就是没放任何东西的 连域名都没解析的也被上传了小马
php 跨目录了，而且宝塔的权限安全性基本也没啥安全性

icon

BigBug 发表于 2024-4-25 13:01

很多空网站，就是没放任何东西的 连域名都没解析的也被上传了小马
网站通常都是一个owner，只要一个突破，所有的都破了。遍历一下/www/wwwroot什么的就好了，然后每个都加个小马进去。这个并不能表明是bt的问题。
你可以试试在防火墙上把bt的端口限制成你只可以访问，或者直接关掉bt面板，这样来排除bt的问题
但还是我前面那话，如果bt有这种0day，你不会是目标，正如linux如果有新的remote的0day，这些黑市都是价值数百万美金的东西，不值用在你身上，需要是高价值目标。

饕餮

什么程序？感觉程序的问题比较大，同宝塔做好基本防护没啥问题

yexin

有过同样问题，有可能你的木马没有清理干净，他会藏很多木马在很细小的路径里，也许你现在的网站源码没问题了，但是当时有问题的时候他隐藏了很多

BigBug

yexin 发表于 2024-4-25 13:15

有过同样问题，有可能你的木马没有清理干净，他会藏很多木马在很细小的路径里，也许你现在的网站源码没问题 ...
谢谢各位的解答  看完你们的评论感觉确实可能是php跨目录了。
服务器中所放程序有三个cms厂家的
易优cms
云优cms
逗号cms

BigBug

icon 发表于 2024-4-25 13:08

网站通常都是一个owner，只要一个突破，所有的都破了。遍历一下/www/wwwroot什么的就好了，然后每个都加 ...
谢谢各位的解答  看完你们的评论感觉确实可能是php跨目录了。
服务器中所放程序有三个cms厂家的
易优cms
云优cms
逗号cms.