这是不是被植入病毒了？

koko

宝塔免费工具扫描出来的：



  q  E$ _6 G3 S. |4 g4 h4 a
6 m2 y9 b9 O: {' V8 \
" u( z" {* z" q! U该怎么解决？ 请高人指点， 拜谢~！
4 Y$ w4 x' L1 r1 E# Y; s! }7 g. J
2 |" Z+ K  D* [6 G. ^1 F4 G

hotmail1314520

是中毒了，删掉这几个挂马文件也没用，得知道程序是哪里出了问题，要把漏洞补上，这是最有效的办法。另一种折中的办法就是安装宝塔的查杀插件，但是有杀敌一千自损百八的问题，可以试试看。

老刘

试试apache, 换掉宝塔一劳永逸
' A) N9 f: r0 [  @: k4 w3 P
3 T7 y1 {9 I/ \https://www.advertcn.com/thread-108121-1-1.html

koko

hotmail1314520 发表于 2023-12-3 10:53
; u; Q; T$ ]# L+ ~# ?! _' T; A是中毒了，删掉这几个挂马文件也没用，得知道程序是哪里出了问题，要把漏洞补上，这是最有效的办法。另一种 ...

3 U. _. C7 p4 Q( T/ i2 Y# L. ^补上漏洞再删除这些文件可以了吗？
这些文件是被植入了病毒，还是这些文件本身就是病毒？

hotmail1314520

koko 发表于 2023-12-3 12:00
  i2 c) Y1 o1 }8 q" N补上漏洞再删除这些文件可以了吗？
4 X, c% W: L  Q这些文件是被植入了病毒，还是这些文件本身就是病毒？ ...

( n. ~# w# Y! v' ]3 |" g这些文件本来就是病毒。你需要对比下你的程序包是不是一开始就有这些，如果不是，那就是通过程序漏洞传的。安装插件再删掉这些文件也是权宜之计，补上漏洞最好。

河小马

这是被大量挂马了吧
+ G  u* G9 H5 {$ T$ ^% W. x我看还有shell.php
2 k$ G2 ^. y7 N/ R. N6 D( m% L, c- n
# W* z& i7 v2 g" X% M3 B: {. q重装一下吧

fatiery

根据我以往的经验，你这个应该已经被几波不同的人放了不同的马，我大胆猜测，你的机器被入侵有一段时间了，而且我再大胆一点猜测，你的机器配置并不高。（如果我猜错了，请轻点打脸）

; h9 h5 l% {5 F; V$ e! X; o处理比较麻烦，因为扫描出来的不一定是全部，可能还有免杀的木马。
$ m1 m% V# y5 i& [# u+ j) S
/ u( W$ L- e+ v' T; Q8 T% q如果你觉得网站并不重要，你可以简单的把扫描出来的文件删除，如果是被插马的，早源文件上传，然后观察一点时间。
9 Z1 W9 G5 C5 t  r; t* b
. D# {* J; O' Y" n9 @- ~如果你觉得网站还是比较重要的，有备份，建议重新开一台机器，还原备份之后再修改域名解析，这样可以做到无缝衔接。（这是我给客户的常规做法）

fatiery

在再多啰嗦几句，因为我的客户都是跑广告的，他们只在乎网站是不是掉线，影不影响他们跑广告(赚钱)。我也只懂一点服务器知识，我不知道换IP会不会对SEO有影响。我不知道具体细节，你还是要根据你自己的情况处理。
/ m, T/ S3 n) P( ?
我个人用了一圈之后，还是觉得宝塔的免费控制面板最好用。（国际版+中文包不验手机）。另外apache的并发太差了，nginx出来后，很多年了，一直都用的的nginx。个人观点，仅供参考。
& |5 O. M  y/ g. S: c
其实漏洞什么的都很正常（每天都有漏洞爆出来，看看专门监控各种漏洞的网站就知道了），被黑也很正常，谁还没被黑过呢？作为小白，最重要的是做好备份和及时更新。

晕蛋疯亲

别挣扎了，肯定有自动恢复程序，全部重装吧，该堵的漏洞要堵，不然重装还是会被黑

affiliateberry

悲剧了.....要找到原因 不然还要遭....

3 n% `; C9 V& g6 _" p; S. n我之前就是类似的，备份恢复 又 遭...

facebooko

一般都是网站漏洞，先全部chmod -R 444去掉写权限，删掉可疑文件，再按需开写权限

koko

河小马 发表于 2023-12-3 16:46
6 ]' M: @* D# C. M, F, y) c' {这是被大量挂马了吧
$ b/ K5 T1 W5 `$ ?4 i. B, E* `我看还有shell.php

重装是什么意思？恢复备份肯定不行，因为备份可能已经有了病毒
0 G% a2 |/ X: U! t) c: U1 {* n2 r
这样行不行：删除掉所有WP的程序，只保留 wp-config.php，其它文件重新上传？

另外，病毒有没有可能被装进去数据库里？

河小马

koko 发表于 2023-12-6 18:42
重装是什么意思？恢复备份肯定不行，因为备份可能已经有了病毒
/ S2 P' n. J6 _/ m2 ]
这样行不行：删除掉所有WP的程序，只保留 ...

一般是不会写入数据库的

blackhat

估计宝塔本身有洞洞，被搞了，面板的话如果不用php多版本，很简单自己搭一个，如果非用面板的话，cloudpanel.io挺好用的，简洁干净，带个防火墙，防火墙设置面板端口只允许自己的IP访问即可。

changshijun

只把程序的要用的写入目录权限打开，其他目录只能读；另外你查你的服务器日志，一般都能看出是怎么进来的，这种一般都是扫的