全球主机交流论坛

标题: 提醒：donatelloflowfirstly.ga这个后门应该不是什么插件里的！ [打印本页]

作者: 栉风沐雨 时间: 2020-8-16 02:29
标题: 提醒：donatelloflowfirstly.ga这个后门应该不是什么插件里的！
本帖最后由栉风沐雨于 2020-8-17 05:03 编辑

之前发帖有说过, wp博客文件，以及博客内容里都被插入了
donatelloflowfirstly.ga 的一段JS代码

当时去Google的时候，基本没找到答案，后来去stackoverfolow去提了个问题，当天晚上给清理干净！然后网站和数据库做了一个备份！

今天发现又被干了，然后继续Google，发现这几天出来了好几篇关于这个代码的文章

翻了很多，然后也找了很多被感染的网站，发现这个应该不是插件或者模板留的后门，具体是什么，暂时还没人知道！

所以提醒大家，这段时间勤备份！

把过程写了篇日志

https://www.waikey.com/vps-tutor ... elloflowfirstly-ga/

作者: 16qf 时间: 2020-8-16 02:51
不清楚，楼下应该会知道

作者: Syc 时间: 2020-8-16 02:59
本帖最后由 Syc 于 2020-8-16 03:00 编辑

针对wordpress的新马，主要是从老旧插件、主题，破解插件、主题切入。

会重定向你的网站到js.donatelloflowfirstly.ga，或插入JS脚本以达到恶意目的。

防火墙无法直接贴代码，病毒样本上传在附件： (, 下载次数: 7)

国际各大杀毒厂家已将此域列为中度危险的“malicious domain request 21”

作者: llmwxt 时间: 2020-8-16 03:06
提示: 作者被禁止或删除内容自动屏蔽

作者: 栉风沐雨 时间: 2020-8-16 03:11

Syc 发表于 2020-8-16 02:59
针对wordpress的新马，主要是从老旧插件、主题，破解插件、主题切入。

会重定向你的网站到js.donatelloflo ...

这个文件之前上传过，但是问题在于，都不知道这个文件是通过什么后门生成或者下载的

作者: Syc 时间: 2020-8-16 03:50

栉风沐雨发表于 2020-8-16 03:11
这个文件之前上传过，但是问题在于，都不知道这个文件是通过什么后门生成或者下载的 ...

看文件修改日期，然后按这个时间点去看webserver的访问日志。你要是日志没设置好记录的话就没辙了，这种日志越详细越好，特别是POST的body要记录，默认是不记录的

作者: 栉风沐雨 时间: 2020-8-16 05:05

Syc 发表于 2020-8-16 03:50
看文件修改日期，然后按这个时间点去看webserver的访问日志。你要是日志没设置好记录的话就没辙了，这种 ...

宝塔面板，请问有没有方式设置？
或者SSH，什么命令开启记录？

作者: clf42 时间: 2020-8-16 05:17
怎么预防？

欢迎光临全球主机交流论坛 (https://loc.010206.xyz/)