网站被攻击、勒索，是 azenv.php 的问题吗？

wjm2038

2016-12-27 10:12:33 +08:00

这个看起来像是后门 shell

zouxy

2016-12-27 10:15:36 +08:00

你需要一个技术彻底解决安全问题。不然成无底洞了。也许我可以看看。哈哈

另外，建议报警。

shoaly

2016-12-27 10:17:20 +08:00

如果没有 php 服务器, 那就不是这一条的原因了, 只是对方在试探你有没有这个后面 shell..

Aidea

2016-12-27 10:18:02 +08:00

@zouxy 技术肯定要找的，当然我也想知道原因及原理，这么不声不响的~

gouchaoer

2016-12-27 10:26:03 +08:00

被敲诈了为了网站快速恢复掏钱是比较理智的；但是恢复了就必须赶快把洞堵上
用 IIS 的话说明你们没有 php 的技术吧…… site 有洞的话，对外行来说有一些简单的处理方式。。。。。。
1 、源码尽早用 git 管理起来，改了啥马上就可以看出来
2 、搞一些主动防御的东东

wildcat007

2016-12-27 10:27:03 +08:00

把 php 的文件内容发出来看看吧，或者网站放出来，我看看？~

CloudMx

2016-12-27 10:29:57 +08:00

/azenv.php auth=136522354422&a=PSCN&i=2546765489&p=80 80 - 85.21.179.19 Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+5.1;+Trident/4.0) 200 0 0 1432 服务器没有这个文件可以 200 么？

qcloud

2016-12-27 10:35:02 +08:00

入侵之后自然要清理痕迹嘛！

Aidea

2016-12-27 10:41:59 +08:00

@gouchaoer 场景对 git 不太适用，相对还是搞主动防御比较靠谱，现在也在着手了。

@wildcat007 文件应该是被清理了

@CloudMx 可以的，而且还不止这一个“不存在”的文件

jimmy2010

2016-12-27 10:42:40 +08:00

@gouchaoer IIS 配 php 很常见的

CloudMx

2016-12-27 10:44:05 +08:00

@Aidea 私聊下地址帮你看看。

jimmy2010

2016-12-27 10:44:20 +08:00

网站留 qq 是通过什么方式留的，是留言本之类的正常功能还是直接改网页了，有可能有漏洞被利用了

Aidea

2016-12-27 10:48:46 +08:00

@jimmy2010 留 QQ 是指网站上留有我们的联系方式，攻击者加了 QQ 然后进行勒索的

yushiro

2016-12-27 10:51:39 +08:00

@Aidea 可以对每个 php 文件生成 md5 校验码，每天查一遍，与本地保留的 md5 进行比对。

daolin998

2016-12-27 10:56:05 +08:00

这都不报警吗？

Aidea

2016-12-27 11:03:47 +08:00

@yushiro 问题是这个 php 文件来无影去无踪，而且是不属于我的文件
@daolin998 报警没用的，之前一公司，被攻击长达半个月，损失超百万，报警也没下文了。可能是因为当时人家没勒索吧。

wjm2038

2016-12-27 11:09:35 +08:00

@Aidea 恢复一下看看

jimmy2010

2016-12-27 11:14:03 +08:00

@Aidea 你自己访问一个不存在的文件是 200 还是 404 ？如果是 404 ，那就是说 /azenv.php 确实被人传上去过，网站存在比较严重的漏洞了。如果是中间件配置导致不存在的文件也返回 200 ，那也有可能就是纯 dos 攻击，网站并没有太大漏洞，没有地址，只能靠猜了。

Aidea

2016-12-27 11:21:25 +08:00

@wjm2038
@jimmy2010 这两个方法可以试试，有新的问题再 append ，感谢~
纯 DDoS 攻击可以不留痕迹，不触发阿里云报警吗？

uzumaki

2016-12-27 11:57:48 +08:00

@Aidea 你可以上网找几个 webshell 大马，在你本机装个 phpstudy 直接启动大马你就知道一些功能了。要是你目录多，试试安全狗之类的东西扫扫，看看能不能找到。