VPS侦探论坛

标题: /usr/libexec/awk目录是干嘛用的？ [打印本页]

作者: leolnmp 时间: 2016-4-14 12:03
标题: /usr/libexec/awk目录是干嘛用的？
今天发现服务器上的两个网站被挂了弹窗，然后用安全狗扫描了下，提示以下信息

【扫描发现服务器上存在1个可疑的恶意文件，其中可疑的恶意文件如下：/usr/libexec/awk：最后修改时间发生变化】

然后在awk目录下，有grcat和pwcat两个文件，这两个文件能隔离掉吗？

[attach]3179[/attach]

作者: licess 时间: 2016-4-14 12:41
grcat和pwcat 这两个文件在系统里是存在的，但不是这个目录，是/usr/lib/x86_64-linux-gnu/awk/

建议备份这2个文件，直接移除

作者: leolnmp 时间: 2016-4-14 13:34
标题: 回复 2# 的帖子
我移除了，但是我的服务器/usr/lib/下面貌似没有x86_64-linux-gnu这个文件夹，怎么回事，lnmp1.2

作者: leolnmp 时间: 2016-4-14 13:43
标题: 回复 2# 的帖子
军哥，弹窗的问题还在，到底怎么才能排除服务器被挂弹窗呢？

作者: licess 时间: 2016-4-14 21:01
标题: 回复 4# 的帖子
有弹窗可能网站代码里，你可以在有弹窗的页面，右击查看源码，看看有没有异常的js文件，然后通过这个再对网站源码排查

作者: leolnmp 时间: 2016-4-15 09:48
标题: 回复 5# 的帖子
军哥，弹窗页面没有异常的js，网站文件校验了没有被更改过，怎么办呢？

会不会是在服务器端？因为我这个服务器上有3个站，其中2个站中招，网站程序不一样，一个是DZ，一个是WP

作者: licess 时间: 2016-4-15 16:34
标题: 回复 6# 的帖子
服务端上直接注入弹窗还没遇到过，可以排查一下系统里的进程看看

能确定弹窗不是本地或者本地电信运营商搞的吗

欢迎光临 VPS侦探论坛 (https://bbs.lnmp.com/)