【已回应】请问.well-known/pki-validation/fileauth.php 是干啥用的？

本帖最后由谢花郎于 2019-11-18 10:41 编辑

网站后门-发现后门(Webshell)文件

待处理

[url=]备注[/url][url=]处理[/url]

木马文件路径：/data/wwwroot/sss.com/.well-known/pki-validation/fileauth.php

这个目录是给证书用的，这个文件不知道啥作用，我打开以后发现里面也没啥内容

php文件贴不上来，我截图了

请问怎么办

楚帅留香 · 发表于 2019-11-17 12:01:25

黑客攻击载荷：POST api/addons/sjhfqjhwjer.php go=edit&godir=%2Fdata%2Fwwwroot%2%2F.well-known%2Fpki-validation%2F&govar=fileauth.php
漏洞说明：通过老webshell上传新webshell
可疑文件路径：/data/wwwroot/XXXn/.well-known/pki-validation/fileauth.php
事件说明：云盾检测到ECS上运行的网站因为WEB漏洞被黑客利用，导致WEBSHELL的写入，请关注。
解决方案：请及时根据告警中提示的漏洞说明，修复对应网站代码中存在的漏洞。同时清理已经被写入的WEBSHELL文件

btw, 那个乱七八糟的文件被我删了（sjhfqjhwjer.php ）

谢花郎 · 发表于 2019-11-18 10:41:28

您好，这个路径下存放的目录文件（格式是text文件）是ssl验证域名的，如这个php文件不是您的，建议排查一下是不是木马文件之类的。

楚帅留香 · 发表于 2019-11-18 14:12:10

谢花郎发表于 2019-11-18 10:41
您好，这个路径下存放的目录文件（格式是text文件）是ssl验证域名的，如这个php文件不是您的，建议排查一下 ...

那我删了，从来没有这个文件，防止误删除，我先重命名为比如bac.abc ，属性改成444，几天没问题再删除。请问如果一个文件被我改成444，而且扩展名是不可执行的php等格式（比如改成abc或.ddd）的话，即使她是木马也无法执行吧

谢花郎 · 发表于 2019-11-18 15:17:43

楚帅留香发表于 2019-11-18 14:12
那我删了，从来没有这个文件，防止误删除，我先重命名为比如bac.abc ，属性改成444，几天没问题再删除。 ...

不会

【菠萝云】免费装宝塔,4G内存68	★美国CN2高防服务器★打死退款★	★香港CN2云/站群/高防/特价机★	【滴盾】高防服务器专抗DDOS	【多途云】高防CDN
高防服务器，无视一切流量攻击	SSL证书，防止数据被劫持	OV/EV SSL证书，可当日签发	宝塔一键部署DV,EV,OV,SSL证书	A10招租，联系qq394030111
★易探云.香港/美国/国内/游戏云★	【苍穹云】高性能云服务器 1.2折起	【迅线云盒】内网穿透-固定公网IP	A14招租，联系qq394030111	【恒爱云】香港低至8元1核1G2M