记一次 web 木马查杀 帝国cms
问题表现:帝国CMS,症状手机访问首页跳转到体彩网站。
问题浅析
考虑两种可能吧。
- 网站源码修改
- 域名劫持
不排除宝塔面板存在漏洞
查看网站源码
发现网站多了m.html 文件
打开查看源代码,发现TDK加密的
这里就不考虑解密了,直接预览看是什么内容
果然是这个,考虑到此文件是静态的。那么用云查杀系统查一下
| cache | 木马类型 |
|---|---|
| e:\下载\hwskill\cache\x\htdocs\skin\ecms251\js\all.php | [木马]php木马 |
| e:\下载\hwskill\cache\x\htdocs\huandeng\2020-08-22\1.jpg | [木马]图片变种木马-33 |
| e:\下载\hwskill\cache\x\htdocs\e\data\tmp\indexpage1.php | [木马]php木马 |
| e:\下载\hwskill\cache\x\htdocs\e\admin\ebak\bdata\adm819811380_db_202208291902115xlogx\phome_enewstempbak_3.php | [木马]php木马 |
| e:\下载\hwskill\cache\x\htdocs\e\admin\ebak\bdata\adm819811380_db_202208291902115xlogx\phome_enewsindexpage_1.php | [木马]php木马 |
木马截图
处理文件
直接删除,注意网站备份
具体根源
这还需要观察一下,后续再加
查杀推荐工具
- 护卫神云查杀系统 https://www.hws.com/soft/kill/
重要提示
不必要的端口全部关掉,22,21,3306 什么的。此问题查看ftp登录日志,发现端口被扫,用的话尽量用sftp协议
2023.1 更新
此漏洞是宝塔面板的问题