我不幸今天发现我的网站上有恶意脚本。 这是644,但我不能删除它。 上面的目录将允许我正常删除它。 界面是cPanel。
我从背后的源代码底部find了创build者的名字。
这个脚本非常讨厌,在我的网站的每个目录。 幸运的是,我有一个干净的备份,我打算尽快恢复。
从源头上,我推断它是用来“破解”ftp密码,mysql数据库,一般的安全性,它可以(不幸的是)也做了很多事情,包括直接访问我帐户上的每个文件。 它针对某些脚本,即phpbb,smf和vbulliten,但我没有这些在我的网站上运行。
是否有一个脚本强制删除这个病毒/蠕虫/不pipe它是什么,而不会触发它?
它出现在chmod至less为755的所有目录中,而在某些地方是644以某种方式。
我该怎么办? 没有人跑过来,它只是坐在那里。 没有访问日志有任何人做任何logging(还)
什么是我采取的最佳途径? 我一直听说,它是在整个服务器上,而不仅仅是我的帐户。
另外,对不起,如果这个网站是不是正确的地方问我,我认为这是最好的,但因为它直接关系。 任何方式只是黑名单的文件名?
我不能强调这一点, 你需要重build服务器。 你不能确定没有安装任何后门程序或者被攻击的二进制文件。 事实上,你不能删除脚本表明有什么不对的服务器。 唯一确定的方法是重新安装。 考虑到你有备份,这不应该花太长的时间。
如果你不控制服务器,那么坚持要控制它的人重新安装系统。 如果他们不这样做,我build议你转向另一个托pipe服务提供商,因为他们不重视安全。
你所描述的是“不可变的”位 ,其function就像是“只读主”。 一旦设置,该文件不能被删除,但您可以随时取消该位并删除该文件。 当然,你会想要备份你所能做的,擦洗你的设置,并从头开始重build。 从轨道上进行核反应总是最好的。
对于rootkit和其他恶意的东西来说,常见的事情是使用扩展属性(特别是不可变的属性)来使其更难清理。 没有经验的pipe理员很可能不知道或不想去检查扩展属性。 有关信息,请参阅man lsattr或chattr。
当然,其他答案已经指出,你真的需要重build系统。
有很多的PHP漏洞可以用来插入这些文件。 从你所描述的这听起来像你在共享主机环境? 如果是这样,你的服务器上的其他人很有可能遭受同样的命运。 我不同意你应该重build整个服务器。 通常情况下,这些文件被插入,而拥有者是没有人或随机的UUID,这样可以解释为什么你不能删除文件。
特别是在cPanel环境中,有一些设置可以控制open_basedir,从而可以在不经意间允许这样的事情发生。 这通常只影响/ home或更高的目录。
如果您控制服务器,请确保文件由您的用户拥有ls -l <filename>如果它们不是您的用户拥有,您将需要联系pipe理员让他chown文件和/或删除它们。