这是我朋友6月初发生的,下述简称我进行描述。
情况:腾讯云提醒我有木马(存在于服务器根目录的tmp文件夹内),然后我去宝塔,把这个文件删了;然后第二天这个木马又有了(文件名字不一样,但是大差不差,后缀内容也一样),腾讯云又提醒我了,然后我把宝塔七里八里的安全软件(加固和防篡改软件等等)全部安装了,最近一个月腾讯云都没提示了。
环境:正版子比,开心宝塔btsb,安装了nginx防火墙和wordfence,Ubuntu 24.04.2 LTS (Noble Numbat) x86_64(Py3.7.16),还有一些美化插件(都是正版,但不排除有漏洞或者后门),还有一些美化功能的文件(我自己也不清楚有哪些了,原先没记录)
1-我个人认知中,中毒要么是弱密码;nginx或者主题或者wp等有漏洞;安装了有后门的插件;大佬们,我的这属于哪一种?
我的认知是:如果是宝塔开心或者插件有后门,那么攻击者完全没必要在根目录的tmp文件夹折腾,直接用www权限改我的网站内容不就行了(目前网站也无异常)。
问题:
1-如上,我认为后门情况可能性低,大概率是漏洞导致的,那么怎么找到这个漏洞在哪呢?我都开了nginx防火墙和wordfence,它是怎么绕过的,还是说没绕过,因为它没真正进入网站目录,只存在于根目录的tmp文件
...查看全文
