请问这个是什么木马/病毒?

2023-11-03 15:32:04 +08:00
 saveai

一个以前的客户,后台登录不上去了,我看用的是 zzzcms ,网站根目录多了个 888.php ,我通过域名访问,发现了如下的图,这是用了什么病毒框架吗?

1614 次点击
所在节点    程序员
6 条回复
virusdefender
2023-11-03 15:34:40 +08:00
php 大马
snowlyg
2023-11-03 15:58:13 +08:00
888.php 通常指的是一个巴克门木马病毒文件。
巴克门木马(Backdoor.Php.Buckdoor)是一种写在 PHP 中的后门木马程序,它能在网站服务器上安装后门,使黑客能远程控制网站服务器。
该木马病毒的主文件通常命名为 888.php,一旦植入网站,就可以实现以下功能:
- 以网站管理员权限执行任意系统命令
- 上传和下载服务器文件
- 安装后门程序
- 修改服务器配置
- 进行 ddos 攻击
- 发送垃圾邮件
- 盗取信息
如果在自己的网站发现存在名为 888.php 的可疑文件,很有可能是巴克门木马病毒,需要立即清除。处理方法包括:
1. 删除 888.php 文件
2. 查杀站点全盘,删除所有可疑文件
3. 修改 FTP 密码,检查是否存在其他后门
4. 重建站点程序文件
5. 关闭服务器远程执行功能
6. 修改 MySQL root 密码
7. 提高服务器整体安全级别
发现木马感染后,需要全面检查站点的安全状况,处理好病毒带来的影响,并采取措施增强安全性,避免再次被植入后门木马。
hanssx
2023-11-03 16:38:03 +08:00
正如一楼所言,大马,还是没有密码的大马?
扫扫吧,没能力的话重新清了再部署吧,说不定服务器也有后门了。

XXXCMS 漏洞很多,没人维护更新之后就会这样。
saveai
2023-11-03 17:26:52 +08:00
@virusdefender
@hanssx
确实,谢谢,这个站很久没更新了
restkhz
2023-11-03 21:59:26 +08:00
这被人上了 webshell ,你最好整个服务器都检查一下。一般是找到某个地方可以上传文件然后直接传了一个什么 php 文件上去,cms 过滤没做好,也可能是用了 RCE 。

可以的话去看看日志检查一下。反正这个 cms 毛病多。

最好有之前干净的源码,把配置文件和数据库检查一下是否干净,然后复制过来,连带 windows 整个系统重装。接下来:

1. 如果你用了什么 php 一键安装的什么环境包而且还开机自动启动,那会注册一个服务。如果一定要开机启动的话也给那个服务分配一个权限压很低的普通用户。不然 php 解释器权限默认是 nt system ,最高权限。想做什么都可以。
2. windows 运行 php 的用户的权限花时间设置一下,上传图片的地方不解析 php ,装 php 脚本的地方禁止写入文件。反正写入和运行权限不能并存。
3. 可以的话装个杀毒软件,打打补丁。目的是能查杀部分 webshell 和防止提权。
4. 后台选个稍微复杂一点的密码。因为后台功能多,出问题的概率大。

这样搞能避免绝大多数问题,在入侵的每一步上都设槛,不确保万无一失但是能把黑客心态搞崩。
黑客发现爆破后台密码半天,找到上传点能上传 php 马但也运行不了,就算能 RCE 没权限也做不了什么,想提权已经被打了补丁,搞不好提权工具和传的马还被杀软灭了。危害被控制在 cms 之内。

waf 有闲心可以装,但是可能会误拦你正常业务。谨慎。
最后,最好最好就不要用这个 cms 了。这个 cms 感觉都已经成了给学信安的人刷 cnvd 的了。
saveai
2023-11-04 06:23:02 +08:00
@restkhz 谢谢谢谢,受教了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/988316

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX