记一次 TP5 后台被植入代码,以及请教现在做的能否防御?

2022-04-25 15:35:25 +08:00
 weijinda007

看日志访问记录

  1. 访问 /static/admin/plugins/font-awesome/fonts/fontawesome-webfont.woff2?v=4.7.0 得到 static/admin/plugins/font-awesome/css/font-awesome.min.css
  2. 然后就访问 /static/admin/plugins/font-awesome/fonts/fontawesome-webfont.php ,fontawesome-webfont.php 原先没有的,现在有了。
  3. 最后通过 fontawesome-webfont.php 脚本执行他的代码逻辑。

现在我操作,删除 fontawesome-webfont.php 脚本,把 public 下修改权限为可读而已,不知道能否防住他的注入。想请教还有什么办法防御住这样的入侵。

1617 次点击
所在节点    分享发现
12 条回复
qa2080639
2022-04-25 15:48:12 +08:00
禁止访问 上传目录和静态目录 下的 PHP 文件
cpstar
2022-04-25 15:58:41 +08:00
php 配置的时候,不执行 static 目录下的 php 不可以么?
pcbl
2022-04-25 16:04:25 +08:00
静态文件不是要统一放到 public 目录下
shench
2022-04-25 16:25:10 +08:00
是怎么上传上去的?
sarices
2022-04-25 16:35:20 +08:00
不是应该搞清楚哪里的漏洞,填补上吗?
weijinda007
2022-04-25 17:20:32 +08:00
搞不清楚啊,所有想来这里看看有没有人知道哪里还有漏洞的
illl
2022-04-25 17:27:29 +08:00
tp 的具体版本?
sunny2580839896
2022-04-25 17:36:33 +08:00
咋排查到侵入流程的
weijinda007
2022-04-25 17:37:27 +08:00
@illl TP5.1 版本的
weijinda007
2022-04-25 17:39:07 +08:00
@sunny2580839896 发现异常请求,查文件发现异常。就根据文件查连接日志。
illl
2022-04-25 18:04:08 +08:00
[![Lo5P0S.png]( https://s1.ax1x.com/2022/04/25/Lo5P0S.png)]( https://imgtu.com/i/Lo5P0S)
rekulas
2022-04-25 23:06:41 +08:00
如果想要彻底防范后门
https://github.com/del-xiong/screw-plus
安装然后设置严格模式 strict_mode 就不怕入侵了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/849173

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX