记一次 TP5 后台被植入代码，以及请教现在做的能否防御？ - V2EX

Home Sign Up Sign In

This topic created in 1479 days ago, the information mentioned may be changed or developed.

看日志访问记录

访问 /static/admin/plugins/font-awesome/fonts/fontawesome-webfont.woff2?v=4.7.0 得到 static/admin/plugins/font-awesome/css/font-awesome.min.css
然后就访问 /static/admin/plugins/font-awesome/fonts/fontawesome-webfont.php ，fontawesome-webfont.php 原先没有的，现在有了。
最后通过 fontawesome-webfont.php 脚本执行他的代码逻辑。

现在我操作，删除 fontawesome-webfont.php 脚本，把 public 下修改权限为可读而已，不知道能否防住他的注入。想请教还有什么办法防御住这样的入侵。

12 replies • 2022-04-25 23:06:41 +08:00

1

qa2080639

Apr 25, 2022 via Android

禁止访问上传目录和静态目录下的 PHP 文件

2

cpstar

Apr 25, 2022

php 配置的时候，不执行 static 目录下的 php 不可以么？

3

pcbl

Apr 25, 2022 via Android

静态文件不是要统一放到 public 目录下

4

shench

Apr 25, 2022

是怎么上传上去的？

5

sarices

Apr 25, 2022

不是应该搞清楚哪里的漏洞，填补上吗？

6

weijinda007

OP

Apr 25, 2022

搞不清楚啊，所有想来这里看看有没有人知道哪里还有漏洞的

7

illl

Apr 25, 2022 via iPhone

tp 的具体版本？

8

univ

Apr 25, 2022

咋排查到侵入流程的

9

weijinda007

OP

Apr 25, 2022

@illl TP5.1 版本的

10

weijinda007

OP

Apr 25, 2022

@sunny2580839896 发现异常请求，查文件发现异常。就根据文件查连接日志。

11

illl

Apr 25, 2022 via iPhone

[![Lo5P0S.png]( https://s1.ax1x.com/2022/04/25/Lo5P0S.png)]( https://imgtu.com/i/Lo5P0S)

12

rekulas

Apr 25, 2022

如果想要彻底防范后门
https://github.com/del-xiong/screw-plus
安装然后设置严格模式 strict_mode 就不怕入侵了

About · Help · Advertise · Blog · API · FAQ · Solana · 1061 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 86ms · UTC 22:49 · PVG 06:49 · LAX 15:49 · JFK 18:49
♥ Do have faith in what you're doing.