flyzy博客
事情见上一个帖子:https://hostloc.com/forum.php?mo … ;page=2#pid13453848
晚上无聊,把网站访问日志下载下来看了看。
对方(不确定是否同一人)一共在网站根目录放了5个新文件:
hleps.php 11月8日 打开后可读我服务器所有文件,对wwwroot目录下所有文件有写权限
show.php 11月8日 打开后是个广告页,使用我服务器调用他的广告内容,然后返回给浏览器
post.php 11月8日 打开后是个广告页,使用我服务器调用他的广告内容,然后返回给浏览器
vwQFV.php 11月12日 应该是下载执行http://77.73.133.99/trester,不知道具体是在我服务器执行还是在浏览器执行。
wp-images.php 11月17日 这个是最早出现的,还经常被修改,不知道来源。好像是用来上传其他文件的,上面的4个文件应该都是通过这个文件上传的。因为每次攻击者post这个路径后, 都会紧跟着尝试访问另一个文件。
有没有大佬有过类似的遭遇? 。
攻击者IP:
183.160.214.79 安徽省合肥市蜀山区 电信 这可能是攻击者最后用的IP,这畜生可能是先用境外机器扫成功了才自己上手。他首次访问的是aogSR.php,然后直接访问的hleps.php这个木马文件操纵的的服务器。
其他的IP都是境外的
178.207.218.163 俄罗斯鞑靼斯坦共和国
185.242.181.33 意大利伦巴第米兰 仅一次
37.228.129.91芬兰南芬兰赫尔辛基 仅一次
79.137.69.34 波兰马佐夫舍华沙 很多次,次数最多
89.191.253.39 俄罗斯 仅一次
178.207.218.163 俄罗斯鞑靼斯坦共和国 次数第二
部分访问记录: 79.137.69.34 – – [12/Nov/2022:05:49:59 +0800] “POST /wp-images.php HTTP/1.1” 200 263 “https://***.com/wp-images.php” “Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:106.0) Gecko/20100101 Firefox/106.0” 79.137.69.34 – – [12/Nov/2022:05:51:19 +0800] “GET /vwQFV.php HTTP/1.1” 499 0 “https://***.com/vwQFV.php” “Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:106.0) Gecko/20100101 Firefox/106.0” 178.207.218.163 – – [08/Nov/2022:03:29:52 +0800] “POST /wp-images.php HTTP/1.1” 200 262 “https://***.com/wp-images.php” “Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:106.0) Gecko/20100101 Firefox/106.0” 178.207.218.163 – – [08/Nov/2022:03:29:54 +0800] “GET /aogSR.php HTTP/1.1” 200 4914 “https://***.com/aogSR.php” “Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:106.0) Gecko/20100101 Firefox/106.0” 183.160.214.79 – – [08/Nov/2022:16:17:34 +0800] “GET /aogSR.php HTTP/2.0” 200 4895 “-” “Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36” 183.160.214.79 – – [08/Nov/2022:16:17:35 +0800] “GET /favicon.ico HTTP/2.0” 302 0 “https://***.com/aogSR.php” “Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36” 183.160.214.79 – – [08/Nov/2022:16:17:35 +0800] “GET /wp-includes/images/w-logo-blue-white-bg.png HTTP/2.0” 200 4119 “https://***.com/aogSR.php” “Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36” 183.160.214.79 – – [08/Nov/2022:16:17:43 +0800] “POST /aogSR.php HTTP/2.0” 200 4961 “https://***.com/aogSR.php” “Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36” 183.160.214.79 – – [08/Nov/2022:16:17:47 +0800] “GET /hleps.php HTTP/2.0” 200 670 “-” “Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36” 183.160.214.79 – – [08/Nov/2022:16:17:53 +0800] “POST /hleps.php HTTP/2.0” 200 731 “https://***.com/hleps.php” “Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36” 183.160.214.79 – – [08/Nov/2022:16:17:53 +0800] “GET /hleps.php?login=geturl HTTP/2.0” 200 913 “https://***.com/hleps.php” “Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36” 复制代码
陕西省网友说:上安全狗
湖南省网友说:为啥没给你清空日志呢
湖南省网友说:有免费的吗? 能不能给推荐一个?
甘肃省网友说:哈哈哈 这安徽省合肥市蜀山区 代理都挂不明白学人日站。直接上传PHP那你问题有点大呀.
江西省网友说:http://free.safedog.cn/
免费
浙江省网友说:WP的话可以装个Wordfence插件试试?免费版也够用了
广东省网友说:可能是他只有写wwwroot的权限吧, 没有wwwlogs的写权限。
湖北省网友说:谢谢大佬
陕西省网友说:不知道怎么回事,我用的wordpress最新版,一个正版主题avada,为数不多的几个插件。回头时间多了再好好查查。
