我的WP站被黑分析-iloveloc

事情见上一个帖子：https://hostloc.com/forum.php?mo ... ;page=2#pid13453848
晚上无聊，把网站访问日志下载下来看了看。
对方（不确定是否同一人）一共在网站根目录放了5个新文件：
hleps.php 11月8日打开后可读我服务器所有文件，对wwwroot目录下所有文件有写权限
show.php 11月8日 打开后是个广告页，使用我服务器调用他的广告内容，然后返回给浏览器
post.php 11月8日 打开后是个广告页，使用我服务器调用他的广告内容，然后返回给浏览器
vwQFV.php 11月12日 应该是下载执行http://77.73.133.99/trester，不知道具体是在我服务器执行还是在浏览器执行。
wp-images.php 11月17日 这个是最早出现的，还经常被修改，不知道来源。好像是用来上传其他文件的，上面的4个文件应该都是通过这个文件上传的。因为每次攻击者post这个路径后， 都会紧跟着尝试访问另一个文件。
有没有大佬有过类似的遭遇？ 。
攻击者IP：
183.160.214.79 安徽省合肥市蜀山区 电信这可能是攻击者最后用的IP，这畜生可能是先用境外机器扫成功了才自己上手。他首次访问的是aogSR.php，然后直接访问的hleps.php这个木马文件操纵的的服务器。

其他的IP都是境外的

178.207.218.163 俄罗斯鞑靼斯坦共和国
185.242.181.33意大利伦巴第米兰 仅一次
37.228.129.91芬兰南芬兰赫尔辛基 仅一次
79.137.69.34 波兰马佐夫舍华沙 很多次，次数最多
89.191.253.39 俄罗斯 仅一次
178.207.218.163 俄罗斯鞑靼斯坦共和国 次数第二

部分访问记录：

79.137.69.34 - - [12/Nov/2022:05:49:59 +0800] "POST /wp-images.php HTTP/1.1" 200 263 "https://***.com/wp-images.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:106.0) Gecko/20100101 Firefox/106.0"
79.137.69.34 - - [12/Nov/2022:05:51:19 +0800] "GET /vwQFV.php HTTP/1.1" 499 0 "https://***.com/vwQFV.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:106.0) Gecko/20100101 Firefox/106.0"

178.207.218.163 - - [08/Nov/2022:03:29:52 +0800] "POST /wp-images.php HTTP/1.1" 200 262 "https://***.com/wp-images.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:106.0) Gecko/20100101 Firefox/106.0"
178.207.218.163 - - [08/Nov/2022:03:29:54 +0800] "GET /aogSR.php HTTP/1.1" 200 4914 "https://***.com/aogSR.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:106.0) Gecko/20100101 Firefox/106.0"

183.160.214.79 - - [08/Nov/2022:16:17:34 +0800] "GET /aogSR.php HTTP/2.0" 200 4895 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36"
183.160.214.79 - - [08/Nov/2022:16:17:35 +0800] "GET /favicon.ico HTTP/2.0" 302 0 "https://***.com/aogSR.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36"
183.160.214.79 - - [08/Nov/2022:16:17:35 +0800] "GET /wp-includes/images/w-logo-blue-white-bg.png HTTP/2.0" 200 4119 "https://***.com/aogSR.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36"
183.160.214.79 - - [08/Nov/2022:16:17:43 +0800] "POST /aogSR.php HTTP/2.0" 200 4961 "https://***.com/aogSR.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36"
183.160.214.79 - - [08/Nov/2022:16:17:47 +0800] "GET /hleps.php HTTP/2.0" 200 670 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36"
183.160.214.79 - - [08/Nov/2022:16:17:53 +0800] "POST /hleps.php HTTP/2.0" 200 731 "https://***.com/hleps.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36"
183.160.214.79 - - [08/Nov/2022:16:17:53 +0800] "GET /hleps.php?login=geturl HTTP/2.0" 200 913 "https://***.com/hleps.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36"

热议
2楼 中央银行 3小时前

上安全狗

3楼 pjk 3小时前

为啥没给你清空日志呢

4楼 iloveloc 3小时前

上安全狗

有免费的吗？ 能不能给推荐一个？

5楼 admin- 3小时前

哈哈哈 这安徽省合肥市蜀山区 代理都挂不明白学人日站。直接上传PHP那你问题有点大呀.

6楼 中央银行 3小时前

有免费的吗？ 能不能给推荐一个？

http://free.safedog.cn/
免费

7楼 sanquanjun 3小时前

WP的话可以装个Wordfence插件试试？免费版也够用了

8楼 iloveloc 3小时前

为啥没给你清空日志呢

可能是他只有写wwwroot的权限吧， 没有wwwlogs的写权限。

9楼 iloveloc 3小时前

http://free.safedog.cn/
免费

谢谢大佬

10楼 iloveloc 3小时前

哈哈哈 这安徽省合肥市蜀山区 代理都挂不明白学人日站。直接上传PHP那你问题有点大呀. ...

不知道怎么回事，我用的wordpress最新版，一个正版主题avada，为数不多的几个插件。回头时间多了再好好查查。

12楼 Aa. 1小时前

wp这么容易被黑嘛？听说有专门的工具来扫漏洞

13楼 醋醋来啦 1小时前

正版主题的话，插件的问题吧，wp 用的人很多，如果是 wp自身的问题，肯定是大面积的站狗带

14楼 likai717 1小时前

还是0IP安全

15楼 micboy 半小时前

ip都有了，可以打110了

申明：本文内容由网友收集分享，仅供学习参考使用。如文中内容侵犯到您的利益，请在文章下方留言，本站会第一时间进行处理。