nginx 被传了木马

freebsd · 发表于 2010-5-21 14:51:17

被人传了 angel 的那个2008.php，是另外个没人气的站点的，因为了装了phpcms，这个东西很多目录需要写php，而且php要能执行才能使用，就侥幸心理疏忽了，没设置好权限。

查得是上次dz7.2漏洞搞攻击被我查到封了帐号的家伙，看来是盯上我网站了。

重新检查每个phpcms目录，重新配置nginx.conf，那些要能写又要执行的目录，准备更新网站内容的时候开放写权限，平时关掉写权限，图个心安。

在此提供大家一个抓利用次漏洞攻击你的网站的命令，查得攻击者的IP，然后后续的判断谁搞你，看你自己的本事了。很简单的

tail -n 200000 nginx的日志路径 | grep -iE "*\.(chm|pdf|zip|rar|tar|gz|bzip2|torrent|gif|jpg|jpeg|png|txt)\/.*\.php"

那些扩展名改成你自己论坛或者网站允许上传的文件类型。

outshine · 发表于 2010-5-21 14:53:39

网络安全令人担忧

网络寄生虫 · 发表于 2010-5-21 14:54:21

不开跳板自认倒霉吧

gdtv · 发表于 2010-5-21 14:55:23

什么跳板？

freebsd · 发表于 2010-5-21 14:56:22

这个家伙用了两个肉鸡来搞的。。。还好做了php目录访问限制，传了木马访问不到服务器上的主站点。

网络寄生虫 · 发表于 2010-5-21 14:59:44

2跳板都能被你找到你FBI工作?

网络寄生虫 · 发表于 2010-5-21 15:01:07

是不是 php木马里面留了个人信息

gdtv · 发表于 2010-5-21 15:02:04

请教：

tail -n 200000 nginx的日志路径 | grep -iE "*\.(chm|pdf|zip|rar|tar|gz|bzip2|torrent|gif|jpg|jpeg|png|txt)\/.*\.php"

这条命令，能不能改成搜索整个目录里的所有日志文件？

cpuer · 发表于 2010-5-21 15:02:38

感谢楼主分享

wzwenfreebsd · 发表于 2010-5-21 15:24:18

安全要天天讲月月讲年年讲原帖由 gdtv 于 2010-5-21 15:02 发表

请教：

tail -n 200000 nginx的日志路径 | grep -iE "*\.(chm|pdf|zip|rar|tar|gz|bzip2|torrent|gif|jpg|jpeg|png|txt)\/.*\.php"

这条命令，能不能改成搜索整个目录里的所有日志文件？ ...

nginx的日志文件路径换成

nginx的日志目录/*

就可以了，如果你的日志全在一个目录下的话

		自动登录	找回密码
密码			立即注册