nginx 被传了木马

freebsd

被人传了 angel 的那个2008.php，是另外个没人气的站点的，因为了装了phpcms，这个东西很多目录需要写php，而且php要能执行才能使用，就侥幸心理疏忽了，没设置好权限。

查得是上次dz7.2漏洞搞攻击被我查到封了帐号的家伙，看来是盯上我网站了。


重新检查每个phpcms目录，重新配置nginx.conf，那些要能写又要执行的目录，准备更新网站内容的时候开放写权限，平时关掉写权限，图个心安。


在此提供大家一个抓利用次漏洞攻击你的网站的命令，查得攻击者的IP，然后后续的判断谁搞你，看你自己的本事了。很简单的


tail -n 200000 nginx的日志路径 | grep -iE "*\.(chm|pdf|zip|rar|tar|gz|bzip2|torrent|gif|jpg|jpeg|png|txt)\/.*\.php"

那些扩展名改成你自己论坛或者网站允许上传的文件类型。

outshine

网络安全令人担忧

网络寄生虫

不开跳板 自认倒霉吧

gdtv

什么跳板？

freebsd

这个家伙用了两个肉鸡来搞的。。。 还好做了php目录访问限制，传了木马访问不到服务器上的主站点。

网络寄生虫

2跳板都能被你找到 你FBI工作?

网络寄生虫

是不是 php木马里面留了个人信息

gdtv

请教：

tail -n 200000 nginx的日志路径 | grep -iE "*\.(chm|pdf|zip|rar|tar|gz|bzip2|torrent|gif|jpg|jpeg|png|txt)\/.*\.php"

这条命令，能不能改成搜索整个目录里的所有日志文件？

cpuer

感谢楼主分享

wzwen

安全要天天讲月月讲年年讲