站点图标 谷姐靓号网

我的WP站被黑分析-iloveloc

Rate this post

事情见上一个帖子:https://hostloc.com/forum.php?mo ... ;page=2#pid13453848
晚上无聊,把网站访问日志下载下来看了看。
对方(不确定是否同一人)一共在网站根目录放了5个新文件:
hleps.php 11月8日打开后可读我服务器所有文件,对wwwroot目录下所有文件有写权限
show.php 11月8日 打开后是个广告页,使用我服务器调用他的广告内容,然后返回给浏览器
post.php 11月8日 打开后是个广告页,使用我服务器调用他的广告内容,然后返回给浏览器
vwQFV.php 11月12日 应该是下载执行http://77.73.133.99/trester,不知道具体是在我服务器执行还是在浏览器执行。
wp-images.php 11月17日 这个是最早出现的,还经常被修改,不知道来源。好像是用来上传其他文件的,上面的4个文件应该都是通过这个文件上传的。因为每次攻击者post这个路径后, 都会紧跟着尝试访问另一个文件。
有没有大佬有过类似的遭遇? 。
攻击者IP:
183.160.214.79 安徽省合肥市蜀山区 电信这可能是攻击者最后用的IP,这畜生可能是先用境外机器扫成功了才自己上手。他首次访问的是aogSR.php,然后直接访问的hleps.php这个木马文件操纵的的服务器。

其他的IP都是境外的

178.207.218.163 俄罗斯鞑靼斯坦共和国
185.242.181.33意大利伦巴第米兰 仅一次
37.228.129.91芬兰南芬兰赫尔辛基 仅一次
79.137.69.34 波兰马佐夫舍华沙 很多次,次数最多
89.191.253.39 俄罗斯 仅一次
178.207.218.163 俄罗斯鞑靼斯坦共和国 次数第二

部分访问记录:

    79.137.69.34 - - [12/Nov/2022:05:49:59 +0800] "POST /wp-images.php HTTP/1.1" 200 263 "https://***.com/wp-images.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:106.0) Gecko/20100101 Firefox/106.0"
    79.137.69.34 - - [12/Nov/2022:05:51:19 +0800] "GET /vwQFV.php HTTP/1.1" 499 0 "https://***.com/vwQFV.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:106.0) Gecko/20100101 Firefox/106.0"

    178.207.218.163 - - [08/Nov/2022:03:29:52 +0800] "POST /wp-images.php HTTP/1.1" 200 262 "https://***.com/wp-images.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:106.0) Gecko/20100101 Firefox/106.0"
    178.207.218.163 - - [08/Nov/2022:03:29:54 +0800] "GET /aogSR.php HTTP/1.1" 200 4914 "https://***.com/aogSR.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:106.0) Gecko/20100101 Firefox/106.0"

    183.160.214.79 - - [08/Nov/2022:16:17:34 +0800] "GET /aogSR.php HTTP/2.0" 200 4895 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36"
    183.160.214.79 - - [08/Nov/2022:16:17:35 +0800] "GET /favicon.ico HTTP/2.0" 302 0 "https://***.com/aogSR.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36"
    183.160.214.79 - - [08/Nov/2022:16:17:35 +0800] "GET /wp-includes/images/w-logo-blue-white-bg.png HTTP/2.0" 200 4119 "https://***.com/aogSR.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36"
    183.160.214.79 - - [08/Nov/2022:16:17:43 +0800] "POST /aogSR.php HTTP/2.0" 200 4961 "https://***.com/aogSR.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36"
    183.160.214.79 - - [08/Nov/2022:16:17:47 +0800] "GET /hleps.php HTTP/2.0" 200 670 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36"
    183.160.214.79 - - [08/Nov/2022:16:17:53 +0800] "POST /hleps.php HTTP/2.0" 200 731 "https://***.com/hleps.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36"
    183.160.214.79 - - [08/Nov/2022:16:17:53 +0800] "GET /hleps.php?login=geturl HTTP/2.0" 200 913 "https://***.com/hleps.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36"

热议
2楼 中央银行 3小时前

上安全狗

3楼 pjk 3小时前

为啥没给你清空日志呢

4楼 iloveloc 3小时前

上安全狗

有免费的吗? 能不能给推荐一个?

5楼 admin- 3小时前

哈哈哈 这安徽省合肥市蜀山区 代理都挂不明白学人日站。直接上传PHP那你问题有点大呀.

6楼 中央银行 3小时前

有免费的吗? 能不能给推荐一个?

http://free.safedog.cn/
免费

7楼 sanquanjun 3小时前

WP的话可以装个Wordfence插件试试?免费版也够用了

8楼 iloveloc 3小时前

为啥没给你清空日志呢

可能是他只有写wwwroot的权限吧, 没有wwwlogs的写权限。

9楼 iloveloc 3小时前

http://free.safedog.cn/
免费

谢谢大佬

10楼 iloveloc 3小时前

哈哈哈 这安徽省合肥市蜀山区 代理都挂不明白学人日站。直接上传PHP那你问题有点大呀. ...

不知道怎么回事,我用的wordpress最新版,一个正版主题avada,为数不多的几个插件。回头时间多了再好好查查。

12楼 Aa. 1小时前

wp这么容易被黑嘛?听说有专门的工具来扫漏洞

13楼 醋醋来啦 1小时前

正版主题的话,插件的问题吧,wp 用的人很多,如果是 wp自身的问题,肯定是大面积的站狗带

14楼 likai717 1小时前

还是0IP安全

15楼 micboy 半小时前

ip都有了,可以打110了

申明:本文内容由网友收集分享,仅供学习参考使用。如文中内容侵犯到您的利益,请在文章下方留言,本站会第一时间进行处理。

退出移动版