瞳灵霏 中级会员v3| 发表于 2023-4-8 23:04:43 | 显示全部楼层

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?立即注册

×
本帖最后由 瞳灵霏 于 2023-4-8 23:06 编辑

服务器已被Nginx挂马的用户还需要做多几步操作:

1、清理木马,执行下面的命令即可自动化清理,命令会自动重装Nginx(清理木马之后请一定要清理浏览器缓存、有部署CDN的需要清理CDN缓存)
  1. curl -sSO http://download.bt.cn/tools/wng_clean.py && python wng_clean.py && rm -rf wng_clean.py
复制代码


复制代码
2、升级至最新版,修改安全入口及账号密码,开启动态口令认证
3、【企业版防篡改-重构版】插件可以有效防止网站被篡改,建议开启并设置root用户禁止修改文件(需要使用时再放开),另外,将nginx关键执行目录(/www/server/nginx/sbin)锁住
4、【宝塔系统加固】插件中的【关键目录加固】功能,可以将nginx关键执行目录(/www/server/nginx/sbin)锁住,此目录在正常使用中不会有任何修改的行为,除了重装以外其他修改行为均可视为被篡改,所以将它锁上。


下面是目前已知木马特征:
明显现象:访问自己的网站跳转到其他非法网站
如果出现了上面的现象,排查是否符合下面的特征
1、使用无痕模式访问目标网站的js文件,内容中包含:_0xd4d9  或  _0x2551  或  _0xb2ce  或  _0xafac  关键词的
2、面板日志、系统日志都被清空过的
3、/www/server/nginx/sbin/nginx 被替换的,或者存在 /www/server/nginx/conf/btwaf/config 文件的
4、*期安装的nginx存在 /www/server/panel/data/nginx_md5.pl 文件,可与现有文件进行比较确认是否被修改(nginx_md5.pl文件是我们用来记录上一次安装nginx时的md5值,如果您的网站异常了,可以打开这个文件跟现在的/www/server/nginx/sbin/nginx文件md5做对比)



QQ截图20230408214954.jpg


以上信息来着宝塔论坛更新内容可前往宝塔论坛查看
#你的人生 中级会员v3| 发表于 2023-4-9 16:11:25 | 显示全部楼层
扫到木马文件了删除后还是跳广告
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|BOXBBS

GMT+8, 2024-11-22 18:09 , Processed in 0.098925 second(s), 23 queries .

Powered by Boxbbs X3.5

© 2023-2033 MacCmsBox bbs.

快速回复 返回顶部 返回列表