论坛被挂马了，附上木马代码，求大神分析

图样图森破 · 发表于 2018-1-26 09:49:04

本帖最后由图样图森破于 2018-1-26 10:11 编辑

今天打开自己的一个论坛，杀毒软件马上报警，

经检查，发现论坛根目录下的PHP文件全部被插入下面这段代码：

echo "
";

求大神分析，这是啥东东？如何预防再次被挂马？

ecosway598 · 发表于 2018-1-26 09:51:00

ecosway598 发表于 2018-1-26 09:53

修改 3389 22 21 关闭可关闭的端口只留80 443

文件目录权限设置444
谢谢大佬指点，之前从未做过安全设置，没想到没什么流量的网站也会被盯上

klon99 · 发表于 2018-1-26 09:51:20

无法预防，因为你压根都不知道别人从哪里进来的

图样图森破 · 发表于 2018-1-26 09:53:00

嫂子抱紧我发表于 2018-1-26 10:13

还好只是挖矿
果然是挖矿代码啊？我也遇到了，WP里面的，好多页面都被挂了，看代码是一样的。清除掉了，但是隔一段时间又出来，不知道注入点在哪

[ol]

https://github.com/deepwn/deepMiner[/ol]复制代码

图样图森破 · 发表于 2018-1-26 09:53:38

klon99 发表于 2018-1-26 09:51

无法预防，因为你压根都不知道别人从哪里进来的
对方应该没有拿到管理员权限

图样图森破 · 发表于 2018-1-26 09:53:44

经分析，发现论坛根目录下的PHP文件全部被插入下面这段代码：

echo "
";

ecosway598 · 发表于 2018-1-26 09:56:38

还好只是挖矿

嫂子抱紧我 · 发表于 2018-1-26 10:03:48

kissbabe 发表于 2018-1-26 10:28

我也遇到了，WP里面的，好多页面都被挂了，看代码是一样的。清除掉了，但是隔一段时间又出来，不知道注入点 ...
WP哪个版本的

ddnpc · 发表于 2018-1-26 10:12:13

mfcer 发表于 2018-1-26 10:44

WP哪个版本的
4.8，没升级，不知道是不是这样原因造成的

mfcer · 发表于 2018-1-26 10:13:24

"

4.8有重大提权漏洞