居然被AnonymousFox 黑了……

今早发现同一个服务器上的其他网站打不开,状况非常奇怪,同服务器的部分网站完全正常,其余几个直接打不开,表现为:静态夜页面和资源完全正常,php的动态页面就像不存在一样的直接显示Apache默认主页。

查了日志看到:[access_compat:error] AH01797: client denied by server configuration

检查配置和日志莫名其妙折腾了一个多小时,最后想起来会不会是被入侵了,ls看了下文件夹果然有惊喜:

一眼就瞄到了不应该存在的php.ini,按时间排序一下就看到了这堆东西

 

接着追到wp-content下,就更热闹了

多了两个文件夹:

Fox-C和Fox-C404

多了一大堆加密的php文件

 

 

追了一下,原来是大名鼎鼎的FoxAuto by AnonymousFox

 

 

不知道是什么插件有洞被扫出来了,可惜为了排除配置问题,把日志删了(太长),只能根据文件时间推断是7月30号到今天上午之间被黑掉了。

找到了问题,接下来就简单了,重新安装一份干净的wp

把uploads文件夹移回去

装个Wordfence

完工,继续板砖

Leave a line?

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据