可能重复:
我的服务器被黑了应急
托pipe公司提供了一封电子邮件给客户,客户希望得到我的一些帮助。 该消息指出:
Any items listed here which are folders named with 5 to 7 random letters are are likely FTP account hacks Checking for known bad files /home2/1/public_html/images/sm6ay7.php /home2/1/public_html/images/sm5ak0.php Checking for known spam scripts /home2/1/public_html/images/sm6ay7.php /home2/1/public_html/images/sm5ak0.php /home2/1/public_html/images/rssok4.php These files are suspicious and should be looked at before deleting The redirects in these files may not be legitimate. Often the actual file name will give you an idea if it is legit or not. If any .htaccess files are listed here, they need to be cleaned. TimThumb fixes Thumbs DB fixes Completed ------------------------ Trackback ------------------------ These results are likely valid files that have had code added to them so they should be cleaned rather than removed: ------------------------ .htaccess ------------------------ ------------------------ General ------------------------ Started at: Sun Jul 15 15:55:04 MDT 2012 /home2/1/public_html/images/sm6ay7.php /home2/1/public_html/images/sm5ak0.php /home2/1/public_html/images/rssok4.php Completed at: Sun Jul 15 15:55:05 MDT 2012 ------------------------ Phish ------------------------ Started at: Sun Jul 15 15:55:05 MDT 2012 Completed at: Sun Jul 15 15:55:05 MDT 2012 ------------------------ Base64 ------------------------ 代码在上面提到的文件中看起来像这样 。 这些代码行我不能说。 不是程序员。 由于该文件位于图像文件夹似乎是可疑的。 已经看过,但我不知道如果我有WP作为CMS。
我有访问网站的控制面板,我试图SSH无法控制面板,我需要处理的一些configuration,主要问题是垃圾邮件中,SSH我将pipe理一些方式看configuration。 文件。
.htaccessconfiguration设置。
IndexIgnore .htaccess */.??* *~ *# */HEADER* */README* */_vti* <Limit GET POST> order deny,allow deny from all allow from all </Limit> <Limit PUT DELETE> order deny,allow deny from all </Limit> AuthUserFile /home/1/public_html/_vti_pvt/service.pwd AuthGroupFile /home/1/public_html/_vti_pvt/service.grp
我是新来的这个,一些帮助,将不胜感激。 关于识别和经验法则,如果有的话进行debugging。
你提供的文件绝对是一个远程触发的邮件机器人。 我快速格式化它,它汇编了一封电子邮件,并使用mail()发送它。 我没有详细介绍它是如何工作的,但总的想法很明显。 有趣的是,它显示了我的语法错误,所以它可能没有工作过。
您需要清理服务器。 我build议你做一个备份,然后删除所有的文件,并安装从头开始使用任何cms。 您可能安全地保留数据库,它可能已经损坏,但至less应该从那里执行代码。 您还需要恢复图像文件夹。 如果只有几个文件,恢复这些,实际上是一个图像(只是尝试打开它们)。 显然,不要恢复任何脚本(以.php,.pl,.py,.sh,…结尾)或可执行文件(无结尾,.exe,.cmd,bat,…)。 一定要改变任何密码,并确保这些都是好的。
您还需要阅读他们使用的特定软件的安全性。 这个洞可能还在那里,任何参加摆脱病毒之前都需要修复才有可能获得成功。
我的build议是采取一切从主机端,复制文件/转储数据库,而不是删除所有东西,让托pipe人知道你清理帐户,所以你将被取消暂停。 下一步,我会build议重置所有的密码,以更安全的最小20个随机数字从这个arrays:A-ZA-Z!@#$%^&*(),。/。 接下来如果你使用WP安装干净的WP和恢复数据库。
然后仔细恢复所有的东西,如果没有CMS,检查每个文件,使用一些工具,如VirusTotal等,如果你会看到该文件是安全的上传到托pipe。