VPS侦探论坛

 找回密码
 注册
查看: 12371|回复: 9

[提问] 网站根目录莫名多了x.php;x.jpg文件

[复制链接]
发表于 2010-7-7 20:24:56 | 显示全部楼层 |阅读模式

我服务器装的LNMP,网站是dedecms5.6.。
今天看到我的网站根目录下莫名多了x.php;x.jpg文件。
哪个大侠知道我是不是被入侵了。
附上我查看到的文件列表:
[root@vps dedeweb]# dir -l
total 400
-rwxr-xr-x  1 www www 121218 Jun 29 18:01 1.asa
-rwxr-xr-x  1 www www  62749 Jun 28 13:22 1.cer
-rwxr-xr-x  1 www www   3861 Feb 28 08:59 1.gif
drwxr-xr-x 21 www www   4096 Apr 30 02:26 a
drwxr-xr-x  2 www www   4096 May  2 04:33 alipay
drwxr-xr-x  4 www www   4096 Apr 21 01:25 ask
drwxr-xr-x  2 www www   4096 Apr  4 02:47 bbs
-rwxr-xr-x  1 www www     32 Mar  9 23:28 bdunion.txt
drwxr-xr-x  6 www www   4096 Apr 21 01:25 book
drwxr-xr-x  2 www www   4096 Mar  7 07:55 css
drwxr-xr-x 17 www www   4096 Jun 16 14:49 data
drwxr-xr-x 12 www www   4096 Mar  7 07:56 EIMS
-rwxr-xr-x  1 www www   4286 Apr 21 19:57 favicon.ico
drwxr-xr-x  3 www www   4096 Apr 21 01:25 group
drwxr-xr-x  4 www www   4096 Apr 27 20:15 images
drwxr-xr-x 12 www www   4096 Jun  3 12:55 include
-rwxr-xr-x  1 www www  11612 Feb 20 00:14 index.htm
-rwxr-xr-x  1 www www  30734 Jul  6 11:09 index.html
-rwxr-xr-x  1 www www   1139 Aug  3  2009 index.php
drwxr-xr-x  5 www www   4096 Jun  3 12:55 install
drwxr-xr-x  8 www www   4096 Jun  3 13:14 member
drwxr-xr-x  6 www www   4096 Jun  3 14:06 plus
-rwxr-xr-x  1 www www    589 Apr  4 00:13 robots.txt
drwxr-xr-x  4 www www   4096 May 14 23:58 search_check
drwxr-xr-x  4 www www   4096 Mar  7 07:56 smarty
drwxr-xr-x  2 www www   4096 May  9 07:14 soft
drwxr-xr-x  2 www www   4096 Mar  7 02:22 special
-rwxr-xr-x  1 www www      0 May 31 11:40 sql.txt
-rwxr-xr-x  1 www www    633 Dec  8  2008 tags.php
drwxr-xr-x  9 www www   4096 Jun  3 13:55 templets
-rwxr-xr-x  1 www www  14441 Apr 20 09:54 update.php.bak
drwxr-xr-x 10 www www   4096 Jul  1 23:09 uploads
-rwxr-xr-x  1 www www   3938 Aug  3  2009 wap.php
-rwxr-xr-x  1 www www     24 Jun 29 18:02 x.php;x.jpg
drwxr-xr-x  2 www www   4096 May 29 21:54 xyq
美国VPS推荐: 遨游主机LinodeLOCVPS主机云搬瓦工80VPSVultr美国VPS主机中国VPS推荐: 阿里云腾讯云。LNMP付费服务(代装/问题排查)QQ 503228080
 楼主| 发表于 2010-7-7 20:44:01 | 显示全部楼层

回复 1# 的帖子



现在从网站的log文件查到一个可疑的IP, 多次试图访问dedecms 系统下的Data/cache/下的文件。
这个IP是59.52.41.125,查询地址是:南昌航空大学学生宿舍宽带网
这该死的学生部知道想给我捣什么乱
Linux下Nginx+MySQL+PHP自动安装工具:https://lnmp.org
 楼主| 发表于 2010-7-7 20:50:47 | 显示全部楼层

还有可疑的记录:
123.12.243.224 - - [04/Jul/2010:20:18:45 +0800] GET /hbormirserver.rar HTTP/1.1 404 169 - Mozilla/4.0 -
123.12.243.224 - - [04/Jul/2010:20:18:45 +0800] GET /mirserver.rar HTTP/1.1 404 169 - Mozilla/4.0 -
123.12.243.224 - - [04/Jul/2010:20:18:46 +0800] GET /mirserver.rar HTTP/1.1 404 169 - Mozilla/4.0 -
我的网站从来没有过这些文件, 也没有任何链接指向这些文件。 不知道是怎么回事。谁能帮忙分析一下。 或者指导指导我改如何进一步检查。
美国VPS推荐: 遨游主机LinodeLOCVPS主机云搬瓦工80VPSVultr美国VPS主机中国VPS推荐: 阿里云腾讯云。LNMP付费服务(代装/问题排查)QQ 503228080
发表于 2010-7-7 22:25:40 | 显示全部楼层

回复 3# 的帖子




检查一下是不是被上传了php木马
Linux下Nginx+MySQL+PHP自动安装工具:https://lnmp.org
发表于 2010-7-7 23:02:17 | 显示全部楼层

你的网站显然被人上传了webshell是肯定的,你现在可以做的就是查看你服务器上他给你留下的后门,给你安装rootkit,建议服务器上立即安装最新的rootkit的检测工具Rootkit Hunter和Chkrootkit两种检测rootkit的工具配合起来用,记住安装好了先升级rootkit的病毒库,不然最新的rootkir是没法检测的。其次查找你dedcms所有文件下含有webshell特征码的文件,可以使用工具PHPCMS木马扫描器这一工具来实现,
检查一下系统有几个uid为0的用户
grep :x:0: /etc/passwd

军哥运维代购:http://shop63846532.taobao.com/

发表于 2010-7-8 01:51:10 | 显示全部楼层

原帖由 hackin 于 2010-7-7 23:02 发表
你的网站显然被人上传了webshell是肯定的,你现在可以做的就是查看你服务器上他给你留下的后门,给你安装rootkit,建议服务器上立即安装最新的rootkit的检测工具Rootkit Hunter和Chkrootkit两种检测rootkit的工具配合起来 ...
说得很详细,学习!
发表于 2010-12-15 11:12:42 | 显示全部楼层

基本上肯定是被黑了。。。
美国VPS推荐: 遨游主机LinodeLOCVPS主机云搬瓦工80VPSVultr美国VPS主机中国VPS推荐: 阿里云腾讯云。LNMP付费服务(代装/问题排查)QQ 503228080
发表于 2011-2-28 23:58:38 | 显示全部楼层

着个是利用 iis的 bug  
Linux下Nginx+MySQL+PHP自动安装工具:https://lnmp.org
发表于 2011-3-13 12:20:04 | 显示全部楼层


来学习,,
美国VPS推荐: 遨游主机LinodeLOCVPS主机云搬瓦工80VPSVultr美国VPS主机中国VPS推荐: 阿里云腾讯云。LNMP付费服务(代装/问题排查)QQ 503228080
发表于 2011-3-16 13:59:25 | 显示全部楼层



检查一下是不是被上传了php木马
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|VPS侦探 ( 鲁ICP备16040043号-1 )

GMT+8, 2024-12-26 21:33 , Processed in 0.041654 second(s), 16 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表