网站根目录莫名多了x.php;x.jpg文件
我服务器装的LNMP,网站是dedecms5.6.。今天看到我的网站根目录下莫名多了x.php;x.jpg文件。
哪个大侠知道我是不是被入侵了。
附上我查看到的文件列表:
# dir -l
total 400
-rwxr-xr-x1 www www 121218 Jun 29 18:01 1.asa
-rwxr-xr-x1 www www62749 Jun 28 13:22 1.cer
-rwxr-xr-x1 www www 3861 Feb 28 08:59 1.gif
drwxr-xr-x 21 www www 4096 Apr 30 02:26 a
drwxr-xr-x2 www www 4096 May2 04:33 alipay
drwxr-xr-x4 www www 4096 Apr 21 01:25 ask
drwxr-xr-x2 www www 4096 Apr4 02:47 bbs
-rwxr-xr-x1 www www 32 Mar9 23:28 bdunion.txt
drwxr-xr-x6 www www 4096 Apr 21 01:25 book
drwxr-xr-x2 www www 4096 Mar7 07:55 css
drwxr-xr-x 17 www www 4096 Jun 16 14:49 data
drwxr-xr-x 12 www www 4096 Mar7 07:56 EIMS
-rwxr-xr-x1 www www 4286 Apr 21 19:57 favicon.ico
drwxr-xr-x3 www www 4096 Apr 21 01:25 group
drwxr-xr-x4 www www 4096 Apr 27 20:15 images
drwxr-xr-x 12 www www 4096 Jun3 12:55 include
-rwxr-xr-x1 www www11612 Feb 20 00:14 index.htm
-rwxr-xr-x1 www www30734 Jul6 11:09 index.html
-rwxr-xr-x1 www www 1139 Aug32009 index.php
drwxr-xr-x5 www www 4096 Jun3 12:55 install
drwxr-xr-x8 www www 4096 Jun3 13:14 member
drwxr-xr-x6 www www 4096 Jun3 14:06 plus
-rwxr-xr-x1 www www 589 Apr4 00:13 robots.txt
drwxr-xr-x4 www www 4096 May 14 23:58 search_check
drwxr-xr-x4 www www 4096 Mar7 07:56 smarty
drwxr-xr-x2 www www 4096 May9 07:14 soft
drwxr-xr-x2 www www 4096 Mar7 02:22 special
-rwxr-xr-x1 www www 0 May 31 11:40 sql.txt
-rwxr-xr-x1 www www 633 Dec82008 tags.php
drwxr-xr-x9 www www 4096 Jun3 13:55 templets
-rwxr-xr-x1 www www14441 Apr 20 09:54 update.php.bak
drwxr-xr-x 10 www www 4096 Jul1 23:09 uploads
-rwxr-xr-x1 www www 3938 Aug32009 wap.php
-rwxr-xr-x1 www www 24 Jun 29 18:02 x.php;x.jpg
drwxr-xr-x2 www www 4096 May 29 21:54 xyq
回复 1# 的帖子
现在从网站的log文件查到一个可疑的IP, 多次试图访问dedecms 系统下的Data/cache/下的文件。这个IP是59.52.41.125,查询地址是:南昌航空大学学生宿舍宽带网
这该死的学生部知道想给我捣什么乱 还有可疑的记录:
123.12.243.224 - - GET /hbormirserver.rar HTTP/1.1 404 169 - Mozilla/4.0 -
123.12.243.224 - - GET /mirserver.rar HTTP/1.1 404 169 - Mozilla/4.0 -
123.12.243.224 - - GET /mirserver.rar HTTP/1.1 404 169 - Mozilla/4.0 -
我的网站从来没有过这些文件, 也没有任何链接指向这些文件。 不知道是怎么回事。谁能帮忙分析一下。 或者指导指导我改如何进一步检查。
回复 3# 的帖子
检查一下是不是被上传了php木马 你的网站显然被人上传了webshell是肯定的,你现在可以做的就是查看你服务器上他给你留下的后门,给你安装rootkit,建议服务器上立即安装最新的rootkit的检测工具Rootkit Hunter和Chkrootkit两种检测rootkit的工具配合起来用,记住安装好了先升级rootkit的病毒库,不然最新的rootkir是没法检测的。其次查找你dedcms所有文件下含有webshell特征码的文件,可以使用工具PHPCMS木马扫描器这一工具来实现,检查一下系统有几个uid为0的用户
grep :x:0: /etc/passwd 原帖由 hackin 于 2010-7-7 23:02 发表 https://bbs.vpser.net/images/common/back.gif
你的网站显然被人上传了webshell是肯定的,你现在可以做的就是查看你服务器上他给你留下的后门,给你安装rootkit,建议服务器上立即安装最新的rootkit的检测工具Rootkit Hunter和Chkrootkit两种检测rootkit的工具配合起来 ... 说得很详细,学习! 基本上肯定是被黑了。。。 着个是利用 iis的 bug:lol :lol 来学习,,:hug: :hug: 检查一下是不是被上传了php木马
页:
[1]