nginx 被传了木马

shangpan

感谢分享。

准备好了

请教一下楼主，查到下面两条结果，但看不明白究竟被入侵成功了没有，



211.155.224.98 - - [23/May/2010:23:11:07 +0800] "GET //ucenter/data/tmp/upload6249.jpg/1.php HTTP/1.1" 200 1728 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" -

123.163.162.45 - - [25/May/2010:09:09:31 +0800] "GET /\x22images/smilies/grapeman/12.gif/\x22 HTTP/1.1" 404 571 "http://（网址隐藏）/bbs/viewthread.php?tid=27330" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" -

fengyn

nginx控制 目录执行 比较麻烦。。IIS最方便

freebsd

看上面一行的日志，应该是中招了， 你再  tail -n 200000 nginx的日志路径 | grep "211.155.224.98"

看人家做了什么后续的入侵动作。

leven

原帖由 准备好了 于 2010-5-25 17:26 发表


请教一下楼主，查到下面两条结果，但看不明白究竟被入侵成功了没有，



211.155.224.98 - - [23/May/2010:23:11:07 +0800] "GET //ucenter/data/tmp/upload6249.jpg/1.php HTTP/1.1" 200 1728 "-" "Mozilla/4.0 (compati ...


危险啊，赶紧检查。。。。

准备好了

谢谢楼主指点，按照楼主的方法又去查看了日志，确实应该是中招了，211.155.224.98这个IP从23日入侵成功开始，日志记录里这个IP的动作几乎这几天每天都有一长串，长到我都无法贴上来，不知道他在我的网站上忙着布置什么东东，准备用我当跳板攻击白宫吗？


郁闷啊，还是怪我贪玩，21日那几天我出去玩了，没有上网，没有上代购，唉，如果我坚持每天上代购肯定会第一时间知道nigux的这个漏洞，及时把漏洞补上就啥事都没有了。

幸好我每天都做了备份的，为了避免以后更大的麻烦，决定重建系统，23日后的数据全部不要了，宁肯丢几天数据也要彻底清除隐患。

再次谢谢楼主的指点，

准备好了

损失了几天数据，刚重装好系统，又发现有2个IP来上传php，但是这次我已经补好漏洞了，呵呵。

折腾一个晚上，”血的教训“啊

诡谲

全部返回404 后端apache.哈哈