这是我朋友 6 月初发生的,下述简称我进行描述。 情况:腾讯云提醒我有木马(存在于服务器根目录的 tmp 文件夹内),然后我去宝塔,把这个文件删了;然后第二天这个木马又有了(文件名字不一样,但是大差不差,后缀内容也一样),腾讯云又提醒我了,然后我把宝塔七里八里的安全软件(加固和防篡改软件等等)全部安装了,最近一个月腾讯云都没提示了。
环境:正版子比,开心宝塔 btsb ,安装了 nginx 防火墙和 wordfence ,Ubuntu 24.04.2 LTS (Noble Numbat) x86_64(Py3.7.16),还有一些美化插件(都是正版,但不排除有漏洞或者后门),还有一些美化功能的文件(我自己也不清楚有哪些了,原先没记录)
1-我个人认知中,中毒要么是弱密码; nginx 或者主题或者 wp 等有漏洞;安装了有后门的插件;大佬们,我的这属于哪一种?
我的认知是:如果是宝塔开心或者插件有后门,那么攻击者完全没必要在根目录的 tmp 文件夹折腾,直接用 www 权限改我的网站内容不就行了(目前网站也无异常)。
问题:
1-如上,我认为后门情况可能性低,大概率是漏洞导致的,那么怎么找到这个漏洞在哪呢?我都开了 nginx 防火墙和 wordfence ,它是怎么绕过的,还是说没绕过,因为它没真正进入网站目录,只存在于根目录的 tmp 文件夹下,是哪个防火墙挡住它了吗?如何让它 tmp 都传不进来?
(我不太了解各个防火墙的起作用的时间点,所以有上述疑问,我问 ai 说 nginx 防火墙和 wordfence 会在文件上传到 tmp 临时文件夹前就起作用,如果这样的话,说明被绕过了,那是哪个防火墙阻止了目录进入网站目录呢?当时没开防篡改)
2-现在安装了加固和防篡改,腾讯云也已经不提示了危险,还需要管嘛?后续怎么操作才能保证安全?原先漏洞没挡住它进入 tmp ,现在什么宝塔安全软件都都装上了,它好像传不进 tmp 了(我的疑惑主要就是这个,如果我上述认知是正确的话,主要疑问就是:哪个防火墙起作用让它现在进不来 tmp 了,原先也有对应防火墙,为什么没起作用。)
3-数据库可能被植入木马吗?那些软件都可以扫网站木马,但是我不会怎么去判断数据库有没有被注入木马,求教怎么扫描数据库木马。
4-我的上述认知正确嘛。求大佬指点!!
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.