iloveloc 大佬有话说 :
好家伙,我的wordpress网站真被挂马了。曝光他IP,大佬上
本帖最后由 iloveloc 于 2022-11-16 22:29 编辑
网站根目录莫名下面多了一个文件。vwQFV.php
内容我看不太懂,只能看到起始位置有一个连接俄罗斯IP【77.73.133.99】的操作。里面有恶意代码,传不上来,下面有图。
后来又仔细检查,发现另一个木马文件:hleps.php
<?php
$ppp="zhululu666";
$sname="sangni";
$myurl="";
error_reporting(E_ERROR | E_PARSE);@set_time_limit(0);
header("content-Type: text/html; charset=gb2312");
$filename=’$ppp=”.$ppp.”;
$sname=”.$sname.”;$myurl=”.$myurl.”;
手动访问这个文件,还有他么密码,盲猜开头的$ppp可能是密码,然后猜对了。好家伙,真是木马:
http://955889.xyz/images/2022/11/16/IMG_20221116_222420.jpg
http://955889.xyz/images/2022/11/16/PHPcode.png
Eric.c 大佬有话说 :
是,远程下载一个文件,执行
aru 大佬有话说 :
当然是木马了
所長 大佬有话说 :
:lol 是木马
烟花三月 大佬有话说 :
是
antbt 大佬有话说 :
下载trester并执行
虎谷 大佬有话说 :
是木马,后门木马
叼爆小朋友 大佬有话说 :
后门木马,IP地址暴露了,看MJJ DD CC 刷流量的表演:lol
御坂 大佬有话说 :
之前我的站点被人植入恶意文件,相当于用我的做了个跳转,刷SEO,恶意关键词
Google那边一看收录了我大几万条记录,判断是只有GOOGLE BOT的UA才允许访问,跳转到仿冒站点。Google就会把获取到的内容、标题记录下来。
但是真人访问,就是404.
我站点一直被微软smartscreen报毒,后来才发现这回事。
后来排查了一下老旧的缓存插件和破解版主题。问题消除
920 大佬有话说 :
研究一下是怎么入侵的。毕竟有一次后,那这个程序就说明有问题了,删了也没用