黑客攻击载荷:POST api/addons/sjhfqjhwjer.php go=edit&godir=%2Fdata%2Fwwwroot%2%2F.well-known%2Fpki-validation%2F&govar=fileauth.php
漏洞说明:通过老webshell上传新webshell
可疑文件路径:/data/wwwroot/XXXn/.well-known/pki-validation/fileauth.php
事件说明:云盾检测到ECS上运行的网站因为WEB漏洞被黑客利用,导致WEBSHELL的写入,请关注。
解决方案:请及时根据告警中提示的漏洞说明,修复对应网站代码中存在的漏洞。同时清理已经被写入的WEBSHELL文件
btw, 那个乱七八糟的文件被我删了(sjhfqjhwjer.php ) |