记一次 web 木马查杀 帝国cms

Fsea 默认分类 2022-08-29
问题表现:帝国CMS,症状手机访问首页跳转到体彩网站。

问题浅析

考虑两种可能吧。

  1. 网站源码修改
  2. 域名劫持
    不排除宝塔面板存在漏洞

查看网站源码

发现网站多了m.html 文件

image-1661780367549

打开查看源代码,发现TDK加密的

image-1661781204578

这里就不考虑解密了,直接预览看是什么内容

image-1661781268440

果然是这个,考虑到此文件是静态的。那么用云查杀系统查一下

image-1661781549647

cache木马类型
e:\下载\hwskill\cache\x\htdocs\skin\ecms251\js\all.php[木马]php木马
e:\下载\hwskill\cache\x\htdocs\huandeng\2020-08-22\1.jpg[木马]图片变种木马-33
e:\下载\hwskill\cache\x\htdocs\e\data\tmp\indexpage1.php[木马]php木马
e:\下载\hwskill\cache\x\htdocs\e\admin\ebak\bdata\adm819811380_db_202208291902115xlogx\phome_enewstempbak_3.php[木马]php木马
e:\下载\hwskill\cache\x\htdocs\e\admin\ebak\bdata\adm819811380_db_202208291902115xlogx\phome_enewsindexpage_1.php[木马]php木马

木马截图

image-1661782944490
image-1661782998895

处理文件

直接删除,注意网站备份

具体根源

这还需要观察一下,后续再加

查杀推荐工具

  1. D盾 https://www.d99net.net/

image-1661830475226

  1. 护卫神云查杀系统 https://www.hws.com/soft/kill/

image-1661830530934

重要提示

不必要的端口全部关掉,22,21,3306 什么的。此问题查看ftp登录日志,发现端口被扫,用的话尽量用sftp协议

2023.1 更新

此漏洞是宝塔面板的问题

PREV
国家/地区旗帜代码emoji
NEXT
悬浮WhatsApp [遇到问题]

评论(0)

发布评论