我最近接管了安装了plesk的Centos服务器,该服务器已被黑客入侵。
所有网站错误日志现在都显示错误:
[Wed May 31 12:37:12 2017] [error] [client 66.249.73.133] Premature end of script headers: index.php
[Wed May 31 12:52:32 2017] [warn] [client 40.77.167.50] (104)Connection reset by peer: mod_fcgid: error reading data from FastCGI server
[Wed May 31 12:52:32 2017] [error] [client 40.77.167.50] Premature end of script headers: index.php
~
我从来没有见过这样的事情,而且我经历过多个堆栈溢出问题。
我尝试重新启动,重新启动httpd,所有基本内容甚至重置/ var / www的文件夹提交。
有人可以帮忙吗?
由于
答案 0 :(得分:0)
您可以尝试将Plesk域PHP处理程序从FastCGI切换到PHP-FPM(甚至从apache切换到Nginx)
此article中的某些内容可以帮助您,也可以在评论中询问Plesk。
答案 1 :(得分:0)
“脚本标题结束”条目可能是由PHP处理程序的问题引起的,如其他错误消息中所述。不幸的是,处理程序无法读取数据可能有几个原因。这似乎是一个Apache日志?你能生成一个FastCGI错误日志吗?由于大多数攻击只访问运行脚本的特定用户,特别是因为攻击不会错误配置您的PHP处理程序,您可能会尝试查看特定站点代码的问题。权限可能是一个很好的起点,如果主目录权限很好,也许可以查看其他文件。您可能想尝试创建一个新用户,只需运行一个phpinfo();来自该用户的脚本,以查看PHP本身是否可以正常工作。
当帐户遭到入侵时,该用户帐户中的任何内容都不安全。攻击者通常做的第一件事就是上传一个webshell。从webshell中,他可以访问修改用户可以访问的任何文件。由于恶意软件扫描工具通常只能找到已知恶意软件的指纹,因此最好假设整个帐户已被盗用并从备份中恢复。你的问题可能比PHP错误更糟糕。
因此,如果服务器没有新帐户的问题,最好简单地丢弃该数据并找到要从中恢复的干净副本。或者,像Sucuri这样的公司可以帮助您从妥协中获得清理。