两个月前换了份工作,然后接手了三台服务器。上面乱七八糟的站点和应用大把。其中有维护一个瀚石苑:http://www.hanshiyuan.com/,三天两头的丢失数据。都不知道怎么找回,好在数据有备份,直接用备份还原了。还原了还是三天两头的丢失数据,想这不是办法啊。因为本人不懂JSP,所以只能从外围去防护。通过nginx的设置把站点的配置文件隐藏(JSP的配置文件居然是xml,而且是明码,啥都可以看到,实在太恐怖了),然后把网站的数据库用户的‘%‘改为localhost,以为这下应该高枕无忧了,结果过了几天,又丢失了数据。
于是觉得网站里面肯定有木马文件或者有漏洞,用百度站长工具检查了一便,居然显示没有漏洞,于是想了下,删除数据肯定有delete操作,于是整站搜索delete,结果发现了一个www-data的用户和组的文件,在站点目录下。直接访问出现一个登陆框(和整站风格不符啊),界面如下:
还留了版权所有的网站 www.forji.com,注入木马人的博客?
然后直接打开文件,发现密码直接写在文件里,用密码登进去,出现了一个功能强大的界面:
实在太强大了,可以对网站的任何文件进行编辑,还可以上传文件到站点目录下,还可以扫描端口等等。果断删掉这个碉堡了的文件。以后应该不再丢失数据了吧?
ps:想要这个文件的可以给我留言或者发邮件。
更多请支持:http://www.webyang.net/Html/web/article_115.html
原文地址:http://blog.csdn.net/ycdyx/article/details/37668635
