什么样的情况会让黑客可以直接放一个文件夹上到你的网站上？？

> 1. 机子本身禁止了 ROOT 登录，禁止了密码登录，用的是证书，证书有密码
答：这和证书有没有密码有毛线关系？

> 2. 应该不是机子暴露，否则为什么每次出事都是同一个网站？
答：机子暴露就必须所有网站都被挂马？不是所有网站都被挂马就可以排除机子暴露？你这逻辑真是反人类！

> 3. 没有 FTP ，所以应该不是 FTP 问题
答：没有安装 FTP 就肯定不是 FTP 的问题，你又是怎么厉害”应该“一词的？

> 4. 感觉像是 WordPress 什么权限问题，但是不清楚
答：感觉？呵呵

@Vhc 0 帮助

有可能是 Wordpress 的插件目录或者主题目录对于普通用户是可写的，再配合 Wordpress 本身的漏洞，这种钓鱼网页放进去应该不困难

@Tink 在楼主什么有用的信息都没提供的情况下，你能提供大于 0 的帮助？

getshell 了

@Vhc 你是不是生活很不如意？自认为技术很好，却职业发展特差？

WP 可以在线编辑主题很容易被 getshell ，最好提供一下后台登录记录。

看了一楼的其他回复··呵呵 block

WordPress 是不是用了老版本的?
其他两个网站是自己写的程序吗? 有可能注入的地方么? 有正确设置权限么?有在 WordPress 那个目录写文件的权限吗?

1 、机子本身禁止了 ROOT 登录，禁止了密码登录，用的是证书，证书有密码
伪分析：题主是为了说明账号安全，默认不能试用账号密码登录，在没有证书的情况下，一般黑客利用爆破 ssh 的方法是不可行的，那么可以排除了黑客拥有账号密码直接登录的可能性，但是在被黑以后可能就有权限了。

2 、应该不是机子暴露，否则为什么每次出事都是同一个网站？
伪分析：我不知道这个啥意思···

3 、没有 FTP ，所以应该不是 FTP 问题
伪分析：没有 FTP ，当然不是 FTP 的问题。但是 wordpress 是有上传的权限的。

4 、感觉像是 WordPress 什么权限问题，但是不清楚
伪分析：可能出现的问题比较多，可能有
--1-- mysql 端口是否对外&弱口令？
--2-- wordpress 后台弱口令？
--3-- 一键搭建环境，是否存在服务器的解析漏洞？
--4-- 其他服务造成的黑客提权？
--5-- 有无 phpinfo.php 这样的类似文件存在？
--6-- 其他


建议查看进程，查看 history ，查看 crontab ，查看 logs 辅助解决。

@onlyhot 恰恰相反。我只是依据事实回复楼主，你能得出这样的猜测恰恰应征了你内心的阴暗。
@wildcat007 你开心就好

@Vhc 如果你没有本事提供帮助，可以不回复嘛。何必露个脸就为了秀优越呢。

@msg7086 你从哪句看出我秀优越感了？你这内心得有多自卑啊！

@Vhc 在你说了一大堆 0 帮助的话以后，还能找到比你更秀优越感的人吗？
看着别人内心就自卑，你这得多优越感啊！

赶紧查查 apache 访问日志,检查所有 POST 请求,特别留意不是发送到 wp-admin 目录的 POST 请求

@msg7086 真的是 0 帮助吗？在你眼里别的的帮助都是 0 帮助？你也真是搞笑！不是我看你内心自卑，而是你自己表现出来的自卑！

查日志呗，或者请专业的帮你看看。这种情况说不好的，必须实地勘察。

@Vhc 一口一个别人自卑，说得自己好像特牛逼似的，咋不上天呢。
你也真是搞笑！不是我看你有优越感，而是你自己表现出来满满优越感！

我发现最近 v 站戾气很重，真的。人家楼主是虚心来问问题的，一楼的每句话都能把别人嘲讽死，而且他却丝毫没发现自己的问题，反而觉得别人这样想是心理阴暗，在现实生活中这样生活应该很不愉快吧。

@Vhc 典型的负能量传播者+无所不喷的喷子。

@msg7086 搞清楚，我说的不是别人，而是你。我对楼主的回复那句不是事实？哪句有秀优越感？真搞不懂某些人总是以小人之心来假定别人。

比较典型的 getshell ，解决办法很多。首先 wordpress 升级到最新版，然后把一些容易注入的地方给限制访问

另外处理前，建议备份数据，重装系统

@upczww 恰恰相反，我现实生活中过得很愉快。只是今天回答个问题就招来一群以小人之心的人的回复有些不开心。
@SpicyCat 哪里传播负能量了？你倒是说说啊？无所不喷的人是你吧！

没有人说先看看目录的 owner 和 group 么，如果是 root 的话，不得了，赶紧重装系统。如果只是 www ，很有可能是 webshell 突破了部分权限，在网站根目录写了东西。

1 楼强力歪楼...

block 真是个好东西啊

1 、我承认我在一楼的回复言辞不够委婉，这点我向楼主道歉。
2 、我在一楼的回复句句对题，指出楼主主题内容表述中的错误。并非是某些人口中的” 0 帮助“。
3 、下面那些无脑喷子也请你们扪心自问一下，你们把别人善意的回答理解为秀优越感，真的不是自己心里的阴暗与自卑吗？

你可以使用 docker 搭建这些 wordpress ，然后再分析问题所在.

@Vhc
别人每句话你都要回喷，还说自己戾气不重？

@lfk0000 并没有歪楼，请参考我上条回复。
@Shura 每次在 v2 看到有人回复”已 block “都觉得好笑！ block 都 block 了还专程回帖告诉对方，多幼稚啊，哈哈。

黑阔很可能用了 php 一句话加菜刀，上传个文件夹进去不是什么问题, 这样钓鱼被查的风险转嫁到楼主头上了。
备份下网站 然后下载个护卫神扫描下整个网站文件夹，应该会有洞洞

@Izual_Yang 这个你真误会了，我回喷并不是我戾气重，而是我一直活的开心与轻松，有什么话我都会说出来，然后就会很轻松愉悦。有些人喜欢生闷气可不好。

哈哈，本来就是技术不行搞不定，直接说出来也没有什么不好呀

曾经用 wordpress 的某些低版本的时候，被 getshell 了，然后解决方法就是升级到新版本。

P.S. 天哪，一楼是怎么了？

@Chrisplus 一楼的回复有问题吗？汝为何故作此惊恐状？

@Vhc 淡定，建议还是多思考思考自己的处事风格为啥会招来这么多人对你的回复表示不满，嗯，有问题的时候多思考是不是自己有问题，问题就好解决多了

大家不要这样，可能一楼只是刚刚失恋了心情不好而已。

为什么 v 站没有👎

凡是跟一楼有过沟通的人，我通通都送了铜币...

@xrxsh 请查考 28 楼。
@lanyusea 不要自己失恋了就觉得全世界的人都失恋了，哈哈。

@phpdever 物以类聚，人以群分。我也很稀罕金币！

使用这些开源软件的时候 记得设置恰当的权限
譬如: 把 wordpress 运行在 admin 账户下，但是 wordpress 所属其他账户，所有的目录 除去 uploads 目录，都只有执行权限
， uploads 目录除去执行权限。

一楼这种就是：自我感觉良好，谁指出自己的问题就是喷子。古文上教的 三省吾身呢。一个人指出问题，说明他是个喷子，两个人指出问题，说明他们两个有偏见，那三个人四个人指出来呢？？

很强势啊。我很羡慕。因为我做不到。

@ic2y 若真是指出我的问题，我自然是要感谢的。你有看到有人指出我的问题吗？只是几个喷子在那乱碰，然后你就随大流的跟风对人指手画脚。这种风气真让人感到悲哀！

@Vhc 戾气重的可以。这里是个社区，是一个家庭。楼上已经说了，你给提问者的回复戾气很重，你认为是乱碰那就没有办法喽。。你为我随大流感到悲哀。你有悲哀这个概念那是极好的，反正你的言语不值得我为你悲哀。

能不能举报一楼啊

@Vhc 毛线关系，反人类，讽刺别人“厉害”，呵呵
这些都充满了嘲讽的味道，到底是你不懂得说话，还是大家看不懂呢？
楼主只是出现问题，请求帮助而已。
以 1 敌 10 ，敌 100 ，您颇有大将风范啊。

看看网站有没有文件上传的地方，可能是文件上传漏洞？

@ic2y
@nikubenki
@LeoSocks 面对你们这一群喷子，我真的懒得再回复了。”毛线关系“、”反人类“。朋友、同事 之间说话都带这些词，从未觉得这些词有一点点的讽刺味道。算了，一个人的格局太小，真心善意的给你们讲些东西你们也只能听出讽刺的味道。随你们说吧，我不再解释了。

SQL 注入， XSS ，文件上传，一句话木马？应该都可以吧，对渗透不是特别熟悉， 建议，不要用那种一键装机脚本（可能有后门漏洞，而且一般不是最新版），最好全都自己来， wordpres 尽量安装最新版本。 你要知道 wordpress 和它的插件爆出的漏洞就有很多了，更不用说 0day 了

@amustart
> SQL 注入， XSS ，文件上传，一句话木马？应该都可以吧
答： WordPress 后台有自动升级功能，最新版的 WordPress 不存在你所说的任何一条。

@Vhc 看来你并不懂说话的艺术，网上还没什么，以后现实会有人教做人的

@amustart
> 你要知道 wordpress 和它的插件爆出的漏洞就有很多了，更不用说 0day 了
答： WordPress 的插件众多，质量参差不齐，时而爆出漏洞也是常态。但是 WordPress 本身却极少爆出漏洞，即使爆出漏洞也是权限极低的，几乎没有可能拿到 WebShell 。

噢我艹，搜了下这人的回帖，还是 b 了吧

@skylancer 在你教别人做人前，请先学会怎么做人。今日若不听我劝，以后现实会有人教做人的。

@Livid

@Vhc https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=wordpress 全是 wordpress 的 CVE ，以及你确定最新版本的没有 0day ？

为什么总是在吵架呢?

@amustart 不能确定有，也不能确定没有。漏洞被第三方返现利用而官方不知道的叫 0day
@Ouyangan 你可以看看我在一楼的回复，并没有任何恶意引战意思。没想到还是招来一大波自卑人士的恶意猜测与诋毁。可能是我周围的朋友和同事素质比较高的缘故，造成了我和那群喷子之间的文化代购。我一直都不想和他们吵，只是好心回复却被他们恶意中伤，有些气愤。算了，和他们也犯不着。

@Phariel 谢谢举报。有一个账号已经 Deactivate 。

看完这个帖子，发现 1 楼真是极品中的极品。 1 楼千万别 @我，我怕传染。

@Vhc 你开心就好

> 这和证书有没有密码有毛线关系？
“伪分析：题主是为了说明账号安全，默认不能试用账号密码登录，在没有证书的情况下，一般黑客利用爆破 ssh 的方法是不可行的，那么可以排除了黑客拥有账号密码直接登录的可能性，但是在被黑以后可能就有权限了。 ”

> WordPress 后台有自动升级功能，最新版的 WordPress 不存在你所说的任何一条。
自动升级是为啥？修复了漏洞。最新版的 WordPress 不存在任何漏洞那为啥要自动升级？

> 面对你们这一群喷子，我真的懒得再回复了。
你才是喷子好不好？

@Tink 我是这么想得，但是说实话懒得去研究，所以不好意思做了次伸手党。感谢回复，我有时间再研究研究 Wordpress 本身漏洞问题

@Yc1992 能说详细一点么？谢谢

@helloccav 刚开始查看了下日志并没有发现什么异常，我再仔细查看一下，谢谢提醒

@jasontse 感谢提醒，的确没主意后台记录，我再看看。

@MrGba2z WordPress 版本不是最新版，但是也不算很老，不知道有出现过某个老版本这种漏洞问题么？
其他大约 8 个网站，多半都是 HTML 单页面，有一两个是 PHP 基本都是自己写的，除了这个网站没有用到 WordPress 的地方。权限都是 www 用户可读不可写权限，除了 WordPress 的几个需要读写权限的地方，但是他偏偏在根目录下。

其他的有实质回答解决问题的都一一送过感谢了，回复很多重复我就不一一口头感谢了。大概了解了情况后我会回去继续查看一下的。谢谢大家帮忙

PS ：我觉得我发帖上并没有什么语气上的问题，不知道为什么第一个回复就招来这样的嘲讽。服务器端安全问题我还是很有信心的，但是的确对 WordPress 和 PHP 等上面内容不是很熟悉，所以如果有说的不对的地方欢迎大家喷

应该是 Wordpress 漏洞，之前也遇到过这样的问题，客户数据都丢了

@Vhc

> 我在一楼的回复句句对题，指出楼主主题内容表述中的错误。并非是某些人口中的” 0 帮助“。
> 下面那些无脑喷子也请你们**扪心自问**一下，你们把别人**善意的回答**理解为秀优越感，真的不是自己心里的阴暗与自卑吗？
> 你可以看看我在一楼的回复，**并没有任何恶意**引战意思。没想到还是招来一大波自卑人士的恶意猜测与诋毁。可能是我周围的朋友和同事素质比较高的缘故，造成了我和那群喷子之间的文化代购。
> 这和证书有没有密码有毛线关系？
> 没有安装 FTP 就肯定不是 FTP 的问题，你又是怎么厉害”应该“一词的？
> 感觉？呵呵

#你确定 这有帮助？是善意的回答？不是秀优越感？并没有任何恶意？
#想把微小错误都挑出来，通过咬文嚼字，好显得自己多牛逼，却没有提供实际的帮助。
#对，我就是恶意的猜测。

--------

> 若真是指出我的问题，我自然是要感谢的。你有看到有人指出我的问题吗？只是几个喷子在那乱碰，然后你就随大流的跟风对人指手画脚。这种风气真让人感到悲哀！
#那我来指一指了 2333

@wangkangluo1 我们会仔细看一下的，暂时把那个网站挪到新服务器上跑着并且 24 小时监控了

@Technetiumer 💕

你们都不懂,我替一楼说:我这人不太会说话, 有得罪之处,你 tm 打我啊~

@lanyusea 哈哈，让我感觉他的语气更像是我挖了他的墙角... 😂

根据描述可以推测是 wordpress 的漏洞可能性很大啊。 建议自己根据版本上这里看看喽
https://www.exploit-db.com/search

@Vhc 你怎么确定你口中的朋友真当你是朋友，没准背后骂你 * * 呢。 没有王思聪的命，得了王思聪的病，真以为口无遮拦是个褒义词吗？

以前有个 dedecms 做的网站也是三天两头被上传文件， 执行 sell 。黑客还明白提醒我不要挣扎。
一怒之下把用不着的乱七八糟的功能文件全删了， 这下清静了。

有问题到 stackexchange 旗下网站提问, 省去了吵架的麻烦.

应该是 wordpress 的漏洞。

@Vhc 不要骂人，不要粗口，可能就不会被人误解了

@Vhc 真是盲目，你被这么多人针对，就一点没觉得自己有问题？随便呵呵，呵呵呵呵呵，就呵呵你呢，呵呵

v2ex 已经没救了，这要感谢 诸如 @Vhc 这类人。
block

被上传上的文件的位置是什么？ Owner 是什么？一般 Wordpress 应该是 www-data 用户

看了帖子 lz 的表达能力很乱，原谅我看得稀里糊涂。 lz 可能对安全这块不太了解吧，这些搞钓鱼黑产的不要把他们技术想得太过高深，我大概看了下可能有几个原因：

LZ 可以多方参考排除！
一、 Wordpress 主题存在后门，可能以加密方式隐藏其中不易察觉，一有主题被使用可能攻击者有类似箱子后门记录并直接进入你的网站。
二、 web 生产环境安全配置不当导致被入侵，例如： phpmyadmin 弱口令？ 备份文件泄露？
三、你的密码可能被泄露，例如在其他网站使用通用密码？ 或者你的网站第一次被入侵时就已经植入了后门，隐藏在茫茫的文件中。
四、同服务器的网站被入侵导致跨站服务器沦陷？
......

作案目的： 我猜测黑产组织可能随机搞站放钓鱼页面吧， 这样被封标记危险提示以后可以继续换个网站作案，可以减少购买域名，主机的成本，而且不易追踪到黑产者。

希望给楼主有个参考。


ps ： 1L 真酸.....

@Tink
@helloccav
@upczww
@lawlietxxl
@zhs227
@enenaaa
@skylancer
@Livid

@Vhc 被 block 了吗？ livid 之后就没说话了

不过这些事情真是，当你坚信一件事是对的时候，却有很多人跳出来你说你是错的，这时候不应该好好反思自己吗？

上面不应该用 block ，是 Deactivate

你把最近的 apache 记录看看 里面有所有的访问记录
如果登陆记录里面没有新的登陆的话
个人觉得是 wordpress 的 0day 漏洞被脚本了

@Livid 来来来，“感谢回复者”旁边加个“踩”的功能吧

看这个网站的日志，搜索那文件夹以及相关文件名，看时间点最早出现的，再这时间点往上看一些请求都干啥，大概能知道是怎么弄的了。如果没这些日志（可能被清除，或者压根不是从这网站进来。）

有很多种可能，从你提供的信息，我们逐个推测:
1.wordpress 漏洞：这个问题方面很多了，本身 wordpress 漏洞或者插件漏洞， wordpress 权限集成于 apache httpd ，写文件在目录下面问题不大
2.中间件漏洞： PHP Apache mysq SSH 等中间件远程执行代码，这些中间件或者系统内核存在
3.VPS ISP 本身权限管理不严格，存在虚拟机存在穿透漏洞或者被渗透（这种遇到了，几乎无解，城墙都垮了还有什么可谈的）
4.下载了不明的程序导致主机被入侵
5.生产环节漏洞： phpmyadmin 、 zabbix ，备份文件泄露， svn 或者 github 秘钥泄露等

排查过程：
1.先查看创建文件的时间和用户，大致能推出时来自哪一个服务创建的， 查找该 owner 从创建文件时间，往前推一定时间的文件（实在不知道你被入侵了多久，没办法给一个具体时间，一般我会找前 24 个小时的），逐个排查出异常，发现异常脚本或者程序马上删除，如果时间已经很长了，可以先删除掉目录然后等着对方再次上传，往前推可以过滤掉很多噪音）
2.检查 SSH 证书目录，看有没可疑的新证书出现，如果有的删除掉
2.没有效果，把对外暴露的所有日志全部拉出来分析错误（日志很有可能被删除或者覆盖，但是你这种钓鱼的一般都是自动化入侵，一般情况下会留下大量错误日志），根据日志分析去定位相关的可疑文件
3.检查文件是否存在共享或者 RPC 调用，如果存在且不需要请及时关闭
4.检查 corntab 和启动项还有服务项和已经运行的进程，看有没可疑
5.请关闭 SSH ，然后使用其他远程工具比如： netcat 做一个零售替代方案, 请把 linux 一些重要命令从本地上传到服务器（很有可能服务器命令被替换了，有条件的话应该全部替换掉），检查软件源 /软件包秘钥看是否被替换掉， 然后使用 chkrootkit 和一些恶意脚本查杀工具去检查，如果还是没有发现异常，应当下载一些系统重要文件或者驱动到本地分析，看文件是否被感染，先把文件删掉，抓一两个小时的包，看有没异常心跳或者加密流量请求，然后做相应的处理，
6.如果你进行了全部排查都还是没有结果，这个时候排查什么的基本上意义不大了，主要思路在于加固这块，启用 SELinux ，然后降低所有中间件权限，然后删除关闭一些不必要的服务，然后对外暴露服务目录单独配置 ACL ，升级所有的服务和内核版本，启用 apache 配置 htaccess ，只允许指定 ip 访问后台， PHP 开启 safe_mode ，删除一些用不上的 php 扩展删除本地一些用不上的脚本命令,对外开放端口能少就少，最好就开放一个 80 端口，其余全部关闭，如果有条件可以分析一下本地的 dump 文件，说不定可以发现一些异常

不要用那些一键脚本，切记！！！我已经被搞了好几次了。

wp 没安装插件，主题程序也确保安装的话。那么问题只有两个了。
1.系统的 lnmp 脚本。试下自己编译安装。
2.wp 存在 0day 漏洞。
我有一个做法，就是试下上 CDN 。这样基本无法找到目标主机（需要花时间），还有观察各项得文件的操作记录。应该可以揪出问题。

网址发出来看看

@Felldeadbird 别扯淡， getshell 才是王道

>>>>> 用的一个免费模板

呵呵，我被这种坑过，网上所谓的免费模板里面大多埋了 webshell 之类的东西，你服务器做得再安全，人家只要 HTTP 连过来就可以随便操作文件夹了。

已经被超管给 Deactivate 。。。。。啊哈哈。。。。。

wordpress 的坑特别的多，操作系统有做过 update 没？