昨天凌晨博客意外被黑,原因已经找到了。

昨天凌晨博客意外被黑,原因已经找到了。

      昨天早上打开博客,居然是黑的,更诧异的是居然是一黑页。

打开FTP,数据没有被删除,只是替换了首页文件,自己马上也就恢复过来了,不过是谁干的呢?这么低调的站点、这么低流量的站点都能被黑,发生这样的事情肯定是个意外。

意外就没什么分析的意思了,不过我得知道是怎么被脚本小子搞定的,昨天工作也比较忙,恢复了数据然后保存下日志和截图。之后一个朋友说凌晨看到我博客被黑了没来得及给我说(=.= 都凌晨了,还到处闲逛~),我便记起了去看了下日志,然后也就找到了被黑的原因。

原因是自己出现了个错觉,以为空间里只有WP程序,非也,某天自己为了测试段代码搞了个demo上去,结果忘记删除了,被这小子给扫描到了,刚好我的demo里有个文件上传脚本,而且还是大摇大摆的在页面上,是个人都能传点东西上来,结果可想而知…

记得出现过一个扫描器,能够扫描站点下以bak结果的备份文件,editpluts等编辑器留下的,比如频繁的改动数据库连接文件就可以能造成这个问题,能改动也就意味着你可能有此服务器的MSTSC权限。

     找到问题了解决便不是难事,这个事情提醒自己得注意善后..坦克后面得跟着晒水车嘛..呵呵。

看下事情的截图:


 当然跟着的还有后面的SHELL文件。。

下面是日志文件:

[Mon Apr 19 00:51:18 2010] [error] [client 41.225.136.245] PHP Notice:  Use of undefined constant r - assumed 'r' in /var/www/virtual/hidehailinux/home/wwwroot/demo/upload/login.php on line 50
[Mon Apr 19 00:51:18 2010] [error] [client 41.225.136.245] PHP Notice:  Use of undefined constant s - assumed 's' in /var/www/virtual/hidehailinux/home/wwwroot/demo/upload/login.php on line 51
[Mon Apr 19 00:51:18 2010] [error] [client 41.225.136.245] PHP Notice:  Use of undefined constant n - assumed 'n' in /var/www/virtual/hidehailinux/home/wwwroot/demo/upload/login.php on line 271
[Mon Apr 19 00:51:20 2010] [error] [client 41.225.136.245] PHP Notice:  Use of undefined constant r - assumed 'r' in /var/www/virtual/hidehailinux/home/wwwroot/demo/upload/login.php on line 50, referer: http://www.0x32.cn/demo/upload/login.php
[Mon Apr 19 00:51:20 2010] [error] [client 41.225.136.245] PHP Notice:  Use of undefined constant s - assumed 's' in /var/www/virtual/hidehailinux/home/wwwroot/demo/upload/login.php on line 51, referer: http://www.0x32.cn/demo/upload/login.php
[Mon Apr 19 00:51:20 2010] [error] [client 41.225.136.245] PHP Notice:  Use of undefined constant n - assumed 'n' in /var/www/virtual/hidehailinux/home/wwwroot/demo/upload/login.php on line 271, referer: http://www.0x32.cn/demo/upload/login.php
[Mon Apr 19 00:51:20 2010] [error] [client 41.225.136.245] PHP Notice:  Use of undefined constant r - assumed 'r' in /var/www/virtual/hidehailinux/home/wwwroot/demo/upload/login.php on line 50, referer: http://www.0x32.cn/demo/upload/login.php

这个IP来自一个叫突尼斯的国家,前后IP还有美国加利福尼亚的。

昨天凌晨博客意外被黑,原因已经找到了。》有5条留言

回复 土木坛子 取消回复