安装的lnmp，论坛首页被人篡改的两次

whale1011

发现这个事情是前天晚上，论坛首页被修改了（discuz , index.php），导致首页不能访问，我替换了原版文件恢复了
第二个晚上又发现首页字体被改了，我替换了原版又恢复了

现在我不知道黑客是怎么入侵的，应该只是恶作剧，因为只是修改了首页玩

我现在有几个问题：

1、他是不是给自己开了一个账号，我怎么查才能查到是不是有陌生的新账号

2、我要怎么做才能阻止他的下一步恶作剧？

licess

系统用户都在：/etc/passwd

升级到最新版的程序，排查网站目录下是否有可疑文件，这一个很重要，没清除干净php木马的很可能很快又会被入侵
开启nginx日志了的话可以看一下日志里有没有可疑的php文件的访问记录。

去掉不需要直接访问php文件目录的执行权限：https://www.vpser.net/security/lnmp-remove-nginx-php-execute.html

更改加强系统、网站等管理账户的密码
php5.2可以按https://bbs.vpser.net/viewthread ... ;fromuid=3#pid29372 设置一下防跨站
php5.3可以按https://bbs.vpser.net/thread-8639-1-1.html 这个防跨站

phpmyadmin之类的要改名或者设置只能指定的ip方案

whale1011

解决跨站后果然就没了