今天在对网站访问进行例行检查时, 发现来自搜索的有个关键字为: inurl:files/upload.php , 心中一寒, 果然在临时文件上传目录中发现了不明的php文件 cun.php!

对空间的文件进行排查, 发现files目录下共多了3个文件: cun.php/pvt.php.jpg/Shall.php.jpg, 根目录下多了3个文件: cun.php/guest.php/include.php, 上传建立时间为昨天下午18时左右, 初步分析, 恶意访问的步骤分成几步:
1. 搜索关键字 inurl:files/upload.php 查找可上传的Linux PHP空间
2. 上传文件 pvt.php.jpg/Shall.php.jpg(注意: 这2个并非真正的jpg, 而是PHP文件, 具体下面再说)
3. 浏览以上jpg文件, 自动生成cun.php
4. 访问cun.php, 获得空间信息, 并可释放到空间根目录, 以获取更大权限

这一切的一切, 都源自一些简单的漏洞, 即第1/2步:
1. 个人使用的上传目录不要做的太通用, 而且最好配置robots.txt不被搜索引擎收录
2. 上传权限控制, 不要大意导致任何人均可上传.
另外, 在一些不会上传新建文件的目录, 如根目录配置权限为755, 即组和公共不能对目录写操作, 杜绝了上传或建立文件.
目前暂时将不必要的路径设置为了755, 并暂时关闭了上传, WordPress发布时, 图片不要链向图片本身, 应指向当前页面或是什么也不做.

以下为对 cun.php/pvt.php.jpg/Shall.php.jpg等的初步分析:
———-
这个入侵的作者可能与下面的2个服务器有关, 当然不排除为肉鸡
$c999sh_updateurl = “http://ccteam.ru/update/c999shell/”; //Update server
$c999sh_sourcesurl = “http://ccteam.ru/files/c999sh_sources/”; //Sources-server
cun.php文件采用base64_decode编码.