网站根目录莫名多了x.php;x.jpg文件

foboy

我服务器装的LNMP，网站是dedecms5.6.。
今天看到我的网站根目录下莫名多了x.php;x.jpg文件。
哪个大侠知道我是不是被入侵了。
附上我查看到的文件列表：
[root@vps dedeweb]# dir -l
total 400
-rwxr-xr-x  1 www www 121218 Jun 29 18:01 1.asa
-rwxr-xr-x  1 www www  62749 Jun 28 13:22 1.cer
-rwxr-xr-x  1 www www   3861 Feb 28 08:59 1.gif
drwxr-xr-x 21 www www   4096 Apr 30 02:26 a
drwxr-xr-x  2 www www   4096 May  2 04:33 alipay
drwxr-xr-x  4 www www   4096 Apr 21 01:25 ask
drwxr-xr-x  2 www www   4096 Apr  4 02:47 bbs
-rwxr-xr-x  1 www www     32 Mar  9 23:28 bdunion.txt
drwxr-xr-x  6 www www   4096 Apr 21 01:25 book
drwxr-xr-x  2 www www   4096 Mar  7 07:55 css
drwxr-xr-x 17 www www   4096 Jun 16 14:49 data
drwxr-xr-x 12 www www   4096 Mar  7 07:56 EIMS
-rwxr-xr-x  1 www www   4286 Apr 21 19:57 favicon.ico
drwxr-xr-x  3 www www   4096 Apr 21 01:25 group
drwxr-xr-x  4 www www   4096 Apr 27 20:15 images
drwxr-xr-x 12 www www   4096 Jun  3 12:55 include
-rwxr-xr-x  1 www www  11612 Feb 20 00:14 index.htm
-rwxr-xr-x  1 www www  30734 Jul  6 11:09 index.html
-rwxr-xr-x  1 www www   1139 Aug  3  2009 index.php
drwxr-xr-x  5 www www   4096 Jun  3 12:55 install
drwxr-xr-x  8 www www   4096 Jun  3 13:14 member
drwxr-xr-x  6 www www   4096 Jun  3 14:06 plus
-rwxr-xr-x  1 www www    589 Apr  4 00:13 robots.txt
drwxr-xr-x  4 www www   4096 May 14 23:58 search_check
drwxr-xr-x  4 www www   4096 Mar  7 07:56 smarty
drwxr-xr-x  2 www www   4096 May  9 07:14 soft
drwxr-xr-x  2 www www   4096 Mar  7 02:22 special
-rwxr-xr-x  1 www www      0 May 31 11:40 sql.txt
-rwxr-xr-x  1 www www    633 Dec  8  2008 tags.php
drwxr-xr-x  9 www www   4096 Jun  3 13:55 templets
-rwxr-xr-x  1 www www  14441 Apr 20 09:54 update.php.bak
drwxr-xr-x 10 www www   4096 Jul  1 23:09 uploads
-rwxr-xr-x  1 www www   3938 Aug  3  2009 wap.php
-rwxr-xr-x  1 www www     24 Jun 29 18:02 x.php;x.jpg
drwxr-xr-x  2 www www   4096 May 29 21:54 xyq

foboy

现在从网站的log文件查到一个可疑的IP， 多次试图访问dedecms 系统下的Data/cache/下的文件。
这个IP是59.52.41.125，查询地址是：南昌航空大学学生宿舍宽带网
这该死的学生部知道想给我捣什么乱

foboy

还有可疑的记录：
123.12.243.224 - - [04/Jul/2010:20:18:45 +0800] GET /hbormirserver.rar HTTP/1.1 404 169 - Mozilla/4.0 -
123.12.243.224 - - [04/Jul/2010:20:18:45 +0800] GET /mirserver.rar HTTP/1.1 404 169 - Mozilla/4.0 -
123.12.243.224 - - [04/Jul/2010:20:18:46 +0800] GET /mirserver.rar HTTP/1.1 404 169 - Mozilla/4.0 -
我的网站从来没有过这些文件， 也没有任何链接指向这些文件。 不知道是怎么回事。谁能帮忙分析一下。 或者指导指导我改如何进一步检查。

licess

检查一下是不是被上传了php木马

hackin

你的网站显然被人上传了webshell是肯定的，你现在可以做的就是查看你服务器上他给你留下的后门，给你安装rootkit，建议服务器上立即安装最新的rootkit的检测工具Rootkit Hunter和Chkrootkit两种检测rootkit的工具配合起来用，记住安装好了先升级rootkit的病毒库，不然最新的rootkir是没法检测的。其次查找你dedcms所有文件下含有webshell特征码的文件，可以使用工具PHPCMS木马扫描器这一工具来实现，
检查一下系统有几个uid为0的用户
grep :x:0: /etc/passwd

freemangv

原帖由 hackin 于 2010-7-7 23:02 发表
你的网站显然被人上传了webshell是肯定的，你现在可以做的就是查看你服务器上他给你留下的后门，给你安装rootkit，建议服务器上立即安装最新的rootkit的检测工具Rootkit Hunter和Chkrootkit两种检测rootkit的工具配合起来 ...

说得很详细，学习！

heiheihoho

基本上肯定是被黑了。。。

jwonderful

着个是利用 iis的 bug  

意气形

来学习，，

mmdmm

检查一下是不是被上传了php木马