问:服务器里所有静态网站都可以访问,但是目录下会有PHP文件存在,我没动他们还留着方便你们处理,而其他PHP程序的网站首页打开都空白了,估计是PHP版本不对导致的问题,但是挂马是存在的,如果是单个站点可以判断是程序漏洞,现在基本所有站点都被上传了恶意PHP文件,我用的是宝塔面板,没有开FTP,面板启用双重认证,站点就两个程序(www.lovove.com,idc.lovove.com)都出问题了,这次估计就是针对WP程序搞的,WP程序都是最新版了,另外一个PHP程序(web.lovove.cn)不是WP所以没事,目前应该可以判断是服务器被入侵了。,服务器被黑了
答:您好,目前查看了服务器上没有异常用户,麻烦提供下宝塔登陆的账号和密码,以便我司核实,非常感谢您长期对我司的支持!
问:sun touno zhimakaimen
问:一二账密如上,宝塔日志看了一下是正常的,操作网站目录是以为网站模板出了问题或者插件,但排查一下发现不是,然后才想起检查配置文件,发现目录下多出很多不认识PHP文件,然后习惯性查看其他网站,发现都是一样被上传了PHP文件,从文件时间分析,是昨天被黑的
答:您好,宝塔测试登陆不了,根据您描述的情况很有可能是某个网站程序有漏洞导致其他文件权限被提权,这种只有在服务器管理里的云快照里回滚近期的备份,然后联系程序提供商核查下程序漏洞进行修复,服务器安全方面可以安装一些安全软件:云锁、服务器安全狗等,非常感谢您长期对我司的支持!
问:账户sun密码:**********…账户touno密码… 访问地址后是就你第一张图的地址是正确的。 程序都是wp最新版本,按道理说不应该存在漏洞,剩下的大多数是静态HTML,服务器没开FTP权限,建议扫下服务器是不是存在其他漏洞,同样的wp最新版我阿里云那边是正常的,也是这些模板插件,看看有没有机房的其他外人去动服务器这些,服务器也就这几个网站,两个wp网站一个网站,其他都是HTML页面,而且三个程序都是最新版。
问:Typecho 这个站是web.lovove.cn 这个站目前可以访问,是安全的
答:您好,输入宝塔账号和密码会跳转到http://127.0.0.1:8893/login这个地址无法正常登陆进去,您可以下载安装云锁或者服务器安全狗,然后扫描下整个系统,但不一定能都扫描出来,最好是恢复下之前快照或者重装下系统,非常感谢您长期对我司的支持!
问:sun 是第一个口令的 touno是控制面板的…怎么可能错误呢
问:你要是昨天一开始叫我滚回快照那还好,现在过了一天8号的快照没了。。。
答:您好,检查服务器没有被黑迹象,宝塔因为是使用的共用账号www运行的所有网站,所以只要有一个网站被黑,其它网站全部可以控制,建议最好使用我司提供的建站管理助手创建网站,每个网站是独立的权限,另外我司挂载了9号的快照,发现文件正常,建议直接恢复9号的数据盘快照即可,另外如果您要具体详查下原因,建议恢复前先把D:\\BtSoft\\wwwlogs日志备份到桌面,另外分析下9号当天所有网站的日志,非常感谢您长期对我司的支持!
问:我在对www.lovove.com 做主要压缩备份,等压缩好我下载到本地备份后,希望你们能帮我滚动到正常的快照,谢谢。目前先这样子处理,我现在本地先搭建环境方便测试。
答:您好,快照您可以自己操作回滚,登录我司后台[管理中心]-业务管理-服务器管理-管理-快照,里面可以操作,非常感谢您长期对我司的支持!
问:已经排查了,程序均是最新版是不应该存在漏洞的,如果真存在,也不会只对我这个小站入手,西数的DOC站点也是WP,而且模板商我跟西数也都是同一家,我是花钱买的正版模板,目前站点内所有插件删除,任然还会继续复制,被修改和新增文件我都替换修改过了,问题依旧,目测这个入侵的人是拿到了服务器权限了,网站设置只读都能复制写入文件,这个服务器是你们西数自己的人在机房看管的吗?还是托管的?
问:技术在线就快点回答,听你们技术说,9日快照那份是正常的,我等到十一点十五分左右准备做回滚操作了,但是如果服务器依然存在问题,那么这个问题还是没有解决~比较PHP程序就那三个站,都是最新版和最新版,我阿里、腾讯云那边也都是用这些程序 也都是第一时间更新版本,都没出现问题,现在这个情况确实恶心。。。最近还要去医院照顾老人实在精力匮乏
答:您好,查看服务器没有被黑的现象,查看用户已经挂载了9日的备份,您可先备份异常的文件目录,然后从9号的数据备份盘里拷贝数据到站点目录其次,查看部分目录是针对www给了所有权限,这样相对来说是不安全的,建议可根据实际情况调整,只需要把部分需要写入的目录设置写入权限,其他目录设置只读权限,其次服务器内可安装云锁等安全软件,用户可在本地安装云锁客户端,然后设置文件防篡改功能,避免一些程序被修改,服务器客户租用后,我司并不会直接管理用户的服务器,服务器内的一些安全等管理维护工作,需要用户平时多花一些时间管理维护,非常感谢您长期对我司的支持.由此给您带来的不便之处,敬请原谅!谢谢!
问:没时间了,先执行回滚操作先,完事我再备份数据重新部署环境
答:您好,查看已经执行回滚成功,请尽快备份文件后重新部署环境,非常感谢您长期对我司的支持.由此给您带来的不便之处,敬请原谅!谢谢!
问:已经完成了吗?我这边状态变化我看到的是执行中??
问:技术小哥!我估摸着今晚得去医院看护,那个帮我关注下回滚进度,因为我怀疑服务器还是存在漏洞的,所以回滚操作如果完成,那么请帮我关机,别让那个入侵的有机会对服务器下手,等我明天或者晚点换人的时候,我再过来弄~谢谢了,我会在手机下关注进度的,麻烦了
问:https://www.west.cn/manager/server/setmod_state.asp?id=77140 服务器状态
或者远程访问服务器看能不能进去可以判断回滚是否完成,因为要关机所以远程访问看看能不能进去,顺便关机操作~
答:您好,抱歉,查看已经执行回滚完毕,并登陆系统为您关机,请有空再通过业务管理–服务器管理–管理–重启–开机后管理服务器,非常感谢您长期对我司的支持.由此给您带来的不便之处,敬请原谅!谢谢!
问:这台服务器目前在用百度网盘备份数据,可能会对磁盘进行较大的读写,发个工单给你们报备下,需要备份数据有近190GB左右
答:您好,目前查看此服务器没有磁盘io较高的报警提示,您可尽快备份使用即可,非常感谢您长期对我司的支持.由此给您带来的不便之处,敬请原谅!谢谢!
西部数码(west.cn)是经工信部、ICANN、CNNIC认证审批,持有ISP、云牌照、IDC、CDN、顶级域名注册商等全业务资质的正规老牌服务商,自成立至今20余年专注于域名注册、虚拟主机、云服务器、企业邮箱、企业建站等互联网基础服务!
截止目前,已经为超过2000万个域名提供了注册、解析等服务,是中国五星级域名注册注册商!已为超过50万个网站提供了高速稳定的云托管服务,获评中国最受用户喜欢云主机服务商。
西部数码提供全方位7X24H专业售后支撑,域名注册特价1元起,高速稳定云主机45元起,更多详情请浏览西部数码官网:https://www.west.cn/
