刚刚有一个被 Sucuri 标记的被黑客入侵的网站
有多个 PHP 后门文件被标记,我已经能够删除它们
但是,index.php 文件底部注入了一个垃圾链接。
我尝试删除它 - 确实有效,但是文件立即重新生成。
我尝试将权限(设置为 -rw-r--r-- www-data:www-data)更改为 root 并编辑文件 - 它在保存时立即变回上述权限,并且我的编辑消失了
Sucuri 现在将该站点标记为干净,即不再存在后门,但显然仍有某些东西在做这样的事情。
服务器上还有很多其他网站,但这些网站都没有受到损害(无论如何,显然如此) - 所以似乎是这个特定网站的文件夹中的某些内容导致了这一问题。
有没有办法监控正在操作 index.php 文件的内容,以便追踪问题从何而来?还有其他想法吗?(除了从头开始,我可以做到,但不容易)。
欢迎任何意见-谢谢!
答案1
使用 644 访问标志,写入来自用户帐户,例如apache。也许你可以对潜伏的 APT 施展些花招。
采取疯狂的行动,授予此文件406(r-----wr-) 权限,并使用组中的帐户others编辑该文件。如果更改保持不变,设置文件访问审计,恢复权限为644然后看看。
如果文件尽管有 406 权限但仍发生变化,则您的 APT 可能具有 root 访问权限,您应该开始重建。它不再是您的服务器了。
祝你好运,并祝贺你迄今为止所做的清洁工作......