Fsea

记一次 web 木马查杀 帝国cms

问题表现:帝国CMS,症状手机访问首页跳转到体彩网站。

问题浅析

考虑两种可能吧。

  1. 网站源码修改
  2. 域名劫持
    不排除宝塔面板存在漏洞

查看网站源码

发现网站多了m.html 文件

打开查看源代码,发现TDK加密的

这里就不考虑解密了,直接预览看是什么内容

果然是这个,考虑到此文件是静态的。那么用云查杀系统查一下

cache木马类型
e:\下载\hwskill\cache\x\htdocs\skin\ecms251\js\all.php[木马]php木马
e:\下载\hwskill\cache\x\htdocs\huandeng\2020-08-22\1.jpg[木马]图片变种木马-33
e:\下载\hwskill\cache\x\htdocs\e\data\tmp\indexpage1.php[木马]php木马
e:\下载\hwskill\cache\x\htdocs\e\admin\ebak\bdata\adm819811380_db_202208291902115xlogx\phome_enewstempbak_3.php[木马]php木马
e:\下载\hwskill\cache\x\htdocs\e\admin\ebak\bdata\adm819811380_db_202208291902115xlogx\phome_enewsindexpage_1.php[木马]php木马

木马截图


处理文件

直接删除,注意网站备份

具体根源

这还需要观察一下,后续再加

查杀推荐工具

  1. D盾 https://www.d99net.net/

  1. 护卫神云查杀系统 https://www.hws.com/soft/kill/

重要提示

不必要的端口全部关掉,22,21,3306 什么的。此问题查看ftp登录日志,发现端口被扫,用的话尽量用sftp协议

2023.1 更新

此漏洞是宝塔面板的问题

当前页面是本站的「Google AMP」版。查看和发表评论请点击:完整版 »