我已将我的网站提交给不同的应用程序,例如 YahooWebmasters 和类似的地方。他们将我网站的主页标题视为Index of/. 但是我通常会看到它,如My Title.
服务器:上面写着 Apashi (wtf!?),实际上是 Apache
PHP 5.2.5
FreeBSD
cPanel Version 11.24.4-RELEASE
Kernel version 6.3-PRERELEASE
主页:index.html
我猜是因为index.html
但为什么呢?
可能的重复:
在 Root 妥协后重新安装?
在具有管理权限的用户意外从连接到域的桌面上的 USB 驱动器加载病毒后,我们的一台服务器遭到破坏。最明显的两个症状是:
我已经运行了来自不同供应商的几次病毒扫描,并且非常确信病毒已被删除,但损坏已经完成。
我希望这两个症状是相关的,一旦目录消失,服务器将再次开始响应。驱动器响应非常慢。我一次删除大约 20k 个文件夹。除此之外,Windows资源管理器变得无响应。
如果我完成清理HD并且事情没有恢复正常,我还可以检查什么?
我有一个为同事运行的 linux 打包服务器(对吗?)。它最近被黑客入侵,过去几天我一直在努力摆脱恶意软件。它现在将我的大部分网站重定向到http://gator65.hostgator.com/~db905/tds/out.php?s_id=1。我能做什么?
可能重复:
我的服务器被黑了 紧急情况
我的网站被黑了,虚拟服务器上的所有网站也被黑了。我需要知道他们是怎么进来的。
他们在所有 index.php 文件中更改的代码如下:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>hacked by jago-dz</title>
<meta name="generator" content="Web Page Maker (unregistered version)">
<style type="text/css">
/*----------Text Styles----------*/
.ws6 {font-size: 8px;}
.ws7 {font-size: 9.3px;}
.ws8 {font-size: 11px;}
.ws9 {font-size: 12px;}
.ws10 {font-size: 13px;}
.ws11 {font-size: 15px;}
.ws12 {font-size: 16px;}
.ws14 {font-size: 19px;}
.ws16 {font-size: 21px;}
.ws18 {font-size: 24px;}
.ws20 {font-size: 27px;}
.ws22 {font-size: 29px;}
.ws24 {font-size: 32px;}
.ws26 {font-size: 35px;}
.ws28 {font-size: 37px;}
.ws36 {font-size: 48px;}
.ws48 {font-size: …可能重复:
我的服务器被黑了 紧急情况
所以我非常恐慌。
我有一个正在构建的 Rails 应用程序,它托管在 VPS 上,用于临时环境。我在本月早些时候对其进行了配置,一切正常(特别是在部署 capistrano 时)。今天我把最新的开发代码部署到了web服务器上并去测试了。我点击了 URL ( http://openstudyr.ashleyangell.com ) 并注意到它正在对我从未听说过的“ http://guide-securesoft.ru/fliht/index.php?1314066061 ”进行奇怪的查找之前,点击我的任何链接也是(最终重定向到相同/相似的 URL)。
我不擅长 Linux,但我足够聪明,可以确保我的所有 SSH 都通过密钥身份验证完成,我从不以 root 身份运行,root 密码是一个长度约为 24 个字符的字母数字字符串。
我检查了虚拟主机的 Apache 配置,但它与我离开时完全一样。
我感觉我的心脏快要射出胸膛,爆炸了。我不知道该怎么做,或者接下来要检查什么。
我尝试在域中搜索类似的问题,但没有发现任何明显的问题。
任何人都可以帮忙吗?我怎样才能 a) 验证我是否已经被入侵,b) 解决问题并阻止它发生(我知道在 a 之前无法真正回答)。
:(
更新#1:
似乎我的所有 URL 在从浏览器执行时都在执行自动重定向,但是如果我直接点击 URL,它们就可以正常工作。奇怪的。
更新#2:
它的父域http://ashleyangell.com(我的个人博客)也有同样的问题。但是,所有其他虚拟主机似乎不受影响。
更新 #3:
我在其他机器上测试过。他们都在做同样的行为,这让我认为它与我的开发机器或互联网连接无关。(是的?)
更新#4:
我跑sudo grep -ri -l "guide-securesoft" /var了,服务器的所有 .htaccess 文件都匹配了!所以我选择了有问题的域并运行cat /var/www/vhosts/openstudyr.ashleyangell.com/.htaccess,这就是我得到的(我清理了它以使其可读):
ErrorDocument 400 http://guide-securesoft.ru/fliht/index.php
ErrorDocument 401 http://guide-securesoft.ru/fliht/index.php
ErrorDocument 403 http://guide-securesoft.ru/fliht/index.php
ErrorDocument 404 http://guide-securesoft.ru/fliht/index.php
ErrorDocument 500 …top 显示:
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
7476 root 20 0 1168 632 368 R 100 0.0 12:31.14 f
哪个f?
claudiu@hussie:~$ which f
/bin/f
那是什么?
claudiu@hussie:~$ man f
No manual entry for f
多少?
31755 ? Z 0:02 [f] <defunct>
32094 ? Ss 0:00 /bin/sh -c f Opyum Team
32096 ? S 28:02 f Opyum Team
32120 ? Z 0:00 [f] <defunct>
32132 ? Ss 0:00 /bin/sh -c f Opyum Team …可能重复:
我的服务器被黑了 紧急情况
我的网站之一受到严重病毒感染。
在几个网页的页脚添加了一个额外的脚本。这些页面是 html 页面。并且他所有的 index.php 都有一个自动添加的 curl 脚本,它可以访问一些恶意代码,这些代码会下载到浏览网站的人身上。该脚本非常危险,如果没有防病毒软件,它会立即破坏访问人员系统。在这个网站上工作的开发者自己在过去 6 天内对系统进行了 5 次格式化。
情况变得更加严重,因为脚本在从受感染的文件中删除后不断返回。现在我们处于最糟糕的状态,它已经蔓延到开发人员在过去 6 个月内正在开发的所有 8-10 个网站。BTW:我们使用开源框架来开发这些网站,我们主要使用了 Magento、CakePHP、wordpress。
如果您能在此问题上提供帮助,请提供您以前的任何处理此类情况的经验或知识。
所有建议表示赞赏。
PS 如果你们需要,我可以在此处发布恶意脚本,该脚本已添加到我的 html 和 php 文件中。
编辑:是否有任何编程解决方案可以从网站中删除添加的恶意代码?
我们的 Linux 服务器有点像噩梦。
Somehack 正在使用我们的服务器发送垃圾邮件。我清理了所有输入,有验证码图像,更改密码等,但仍然如此。
不知何故,他们继续这样做。每小时收到数千封电子邮件。我们每天有 3000 封电子邮件限制,因此在我清理队列后几乎立即阻止了我们的 SMTP。问题是,所有那些不断进来的电子邮件都以“未处理”的形式存储在某处,这将我们的磁盘空间增加到了极限,然后我什至看不到网站。我们的服务器是典型的 Linux,使用 Plesk 9.3 作为面板。在所有这些垃圾邮件中,他们将 root@ip-188-121-62-27.ip-secureserver.net 显示为发件人,我猜这是默认的系统地址。
我迫切需要阻止这种情况,我只是不知道该怎么做。有没有办法阻止该电子邮件地址发送电子邮件?通过 SSH 还是在 Plesk 中?
这是其中 1 封垃圾邮件的标题:
Received: (qmail 20441 invoked by uid 48); 9 Mar 2012 09:29:55 -0200
Date: 9 Mar 2012 09:29:55 -0200
Message-ID: <20120309112955.20439.qmail@ip-188-121-62-27.ip.secureserver.net>
To: harsadeyes@aol.com
Subject: Viaqra 0,89
From: "Reuben Velasquez" <reuben_velasquez@vigrxplus-ue.com>
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
可能重复:
我的服务器被黑了 紧急情况
我有这台服务器,但它已被入侵。我注意到 perl 运行了很多,但没有我正在运行的 perl 编程。下面是我的顶。
top - 21:20:54 up 8 days, 13:16, 1 user, load average: 2.02, 2.23, 2.52
Tasks: 97 total, 2 running, 93 sleeping, 0 stopped, 2 zombie
Cpu(s): 77.7%us, 22.3%sy, 0.0%ni, 0.0%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st
Mem: 1034892k total, 730176k used, 304716k free, 181616k buffers
Swap: 2097144k total, 0k used, 2097144k free, 381540k cached
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
25687 apache 25 0 5328 2896 1176 R …我对文件 /etc/passwd 和 /etc/shadow 有一些问题。两者都没有权限:
\n\n---------- 1 root root 1357 Aug 5 11:30 passwd\n---------- 1 root shadow 1175 Aug 5 11:30 shadow\n我不知道这是怎么发生的或为什么发生。基本上,当我以 root 用户身份登录时,我无法编辑/删除这些文件或更改权限。它以“不允许操作”结束。例如。当我尝试时:
\n\nroot@server:/etc# chmod 600 passwd\nchmod: changing permissions of \xe2\x80\x98passwd\xe2\x80\x99: Operation not permitted\n主要问题是任何登录用户在命令行中都会显示“我没有名字!@...”,并且我无法使用“su”或以其他用户身份运行某些服务。我想这些文件应该有一些权限,这就是问题所在。我的系统是 Ubuntu 14.04.3 LTS,具有最新的更新。
\n