因此,我的一个客户端站点已被index.php文件中的内容入侵。 hack包含以下变量:
$O0O_O00O__=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
我已经做了一些ssh的工作,并且发现了一些我删除的shell漏洞。但是,当我从index.php中删除代码并将其保存回服务器时,我刷新了ftp以查看文件大小,在一秒钟之内,该文件又回到了那里的黑客那里。
我想念什么?这样会怎样重新/创建index.php文件?
感谢您的帮助。
答案 0 :(得分:0)
您可以运行一个pid。如果没有重新创建文件的任务,则可能会发生此问题。也许crontab已被编辑。或者文件是符号链接。
答案 1 :(得分:0)
因此,如果有人对同一件事有疑问,我将把它留给别人阅读。
使用hack写入index.php文件时,权限将调整为该文件。通常设置为444。
我能够解决此问题的方法是,我通过SSH登录,然后将owner:group更改为使用此命令通过ftp登录的帐户
sudo chown owner:group index.php
然后从此处,我将文件权限设置为644
sudo chmod 644 index.php
从那里,我能够通过ftp和记事本++在ftp中编辑该文件,并将其保存回原来的状态,并且不再被覆盖。
然后,我只是逆转了此过程,并将文件的权限设置回444。
希望这对以后的其他人有帮助。