V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
lyragosa
V2EX  ›  云计算

阿里云如何禁止系统不停将一个 php 文件加上.suspected 后缀

  •  
  •   lyragosa · 2016-06-03 15:52:48 +08:00 · 4201 次点击
    这是一个创建于 3113 天前的主题,其中的信息可能已经有所发展或是发生改变。
    标题已经包含全部内容。

    “急,在线等”

    (虽然我知道这大约是个安全功能……但手动改回来了隔一会又被改回去也是心累……关掉云盾也没什么卵用……
    第 1 条附言  ·  2016-06-04 12:14:13 +08:00
    问题已解决
    19 条回复    2016-06-04 21:51:09 +08:00
    hemingway
        1
    hemingway  
       2016-06-03 16:14:37 +08:00
    查出是系统哪个进程改的,把它杀了。
    lhbc
        2
    lhbc  
       2016-06-03 16:16:47 +08:00
    你这个是 webshell ?
    rekulas
        3
    rekulas  
       2016-06-03 16:39:31 +08:00
    是你 vps 自己安装的软件干的吧 跟阿里应该没关系 检查 vps
    lyragosa
        4
    lyragosa  
    OP
       2016-06-03 17:05:14 +08:00
    @hemingway 我也不知道是哪个进程改的啊,有文件系统变动审计日志一类的玩意吗?
    @rekulas 不是我的机器,是帮别人看的,根本不知道他之前的运维都装了啥(反正机器上乱七八糟的啥都有便是了……
    lyragosa
        5
    lyragosa  
    OP
       2016-06-03 17:05:46 +08:00
    目前解决办法是新建一个 444 的 0 字节同名文件占住坑,希望有效……
    rekulas
        6
    rekulas  
       2016-06-03 17:12:37 +08:00
    @lyragosa 你可以试试 root 添加个 php 测试看是不是 root 级别的软件 再依次 kill 排查。。。
    sutra
        7
    sutra  
       2016-06-03 17:29:09 +08:00
    rekulas
        8
    rekulas  
       2016-06-03 17:32:23 +08:00
    根据这人的说法 “检查了文件,发现隐藏了木马”,貌似是 php 木马,如果是 php 木马那就好办,打包下载下来直接搜
    lyragosa
        9
    lyragosa  
    OP
       2016-06-03 17:42:03 +08:00
    @rekulas
    @sutra

    问题是,这个文件是 wordpress 的配置文件,官方下载的包里面的。
    kookxiang
        10
    kookxiang  
       2016-06-03 18:29:58 +08:00
    lslqtz
        11
    lslqtz  
       2016-06-03 18:41:18 +08:00
    本人阿里云,同 WordPress 没有问题。
    rekulas
        12
    rekulas  
       2016-06-03 23:01:49 +08:00
    @lyragosa 内容是什么 发出来看看
    hoythan
        13
    hoythan  
       2016-06-03 23:07:42 +08:00
    不用考虑了,就是木马文件,这个你可以查找所有的 php 文件页脚,会有相关的代码,漏掉一个,就会全部自动生成。
    hoythan
        14
    hoythan  
       2016-06-03 23:08:32 +08:00   ❤️ 1
    @hoythan 在 wordpress 非常常见,如果你安全做不好,很容易被感染到这个文件。一般来说我都是清理好主题、插件,然后重新安装整个 wp 程序,不然总会有漏网之鱼。
    Sunyanzi
        15
    Sunyanzi  
       2016-06-04 09:07:58 +08:00
    我之前似乎在哪儿见过一眼这个症状 ... 应该是个蛮常见的 WordPress 木马 ...

    处理的时候手杀就行 ... 在所有 php 文件里找 eval( 这个字符串 ... 然后把结果里看着不像好东西的删了就是 ...

    以及月月你怎么就能觉得这是个安全功能呢 ... 怎么看怎么都是恶意的好吗 ...
    realpg
        16
    realpg  
       2016-06-04 09:32:09 +08:00
    突然发现,连基本安全都不会做的生产服务器真的好多啊……

    最常见的 PHP 木马,可是为什么, php 本身能写操作 php 文件呢……
    lyragosa
        17
    lyragosa  
    OP
       2016-06-04 12:13:59 +08:00
    @Sunyanzi
    @hoythan
    @realpg

    问题已经解决,我找了个扫描器扫了一下,的确是有几个文件有很多莫名其妙的 eval ,干掉之后就没问题了。

    也算是学习到了新姿势。。。
    tSQghkfhTtQt9mtd
        18
    tSQghkfhTtQt9mtd  
       2016-06-04 21:49:53 +08:00 via Android
    #(滑稽) 遇到这种情况我就查 Git diff 然后 revert 了
    毕竟 10 分钟自动 pull 一次(
    tSQghkfhTtQt9mtd
        19
    tSQghkfhTtQt9mtd  
       2016-06-04 21:51:09 +08:00 via Android
    @realpg
    @Sunyanzi
    @hoythan
    但是这种木马一般怎么感染的?单用户 WordPress+第三方评论有风险吗
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4255 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 05:36 · PVG 13:36 · LAX 21:36 · JFK 00:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.