这是不是被植入病毒了？

koko · 发表于 2023-12-3 10:15:45

宝塔免费工具扫描出来的：

该怎么解决？请高人指点，拜谢~！

hotmail1314520 · 发表于 2023-12-3 10:53:27

是中毒了，删掉这几个挂马文件也没用，得知道程序是哪里出了问题，要把漏洞补上，这是最有效的办法。另一种折中的办法就是安装宝塔的查杀插件，但是有杀敌一千自损百八的问题，可以试试看。

老刘 · 发表于 2023-12-3 11:51:33

试试apache, 换掉宝塔一劳永逸

https://www.advertcn.com/thread-108121-1-1.html

koko · 发表于 2023-12-3 12:00:20

hotmail1314520 发表于 2023-12-3 10:53
% P" s& Z- H3 x/ V+ h是中毒了，删掉这几个挂马文件也没用，得知道程序是哪里出了问题，要把漏洞补上，这是最有效的办法。另一种 ...

补上漏洞再删除这些文件可以了吗？
这些文件是被植入了病毒，还是这些文件本身就是病毒？

hotmail1314520 · 发表于 2023-12-3 12:06:50

本帖最后由 hotmail1314520 于 2023-12-3 18:08 编辑

koko 发表于 2023-12-3 12:00
2 c. R5 }- X# W5 l% p7 l补上漏洞再删除这些文件可以了吗？% M5 w( d3 M& g( h- u) n7 Y7 {
这些文件是被植入了病毒，还是这些文件本身就是病毒？ ...

这些文件本来就是病毒。你需要对比下你的程序包是不是一开始就有这些，如果不是，那就是通过程序漏洞传的。安装插件再删掉这些文件也是权宜之计，补上漏洞最好。

河小马 · 发表于 2023-12-3 16:46:10

这是被大量挂马了吧
我看还有shell.php

重装一下吧

fatiery · 发表于 2023-12-3 23:10:05

根据我以往的经验，你这个应该已经被几波不同的人放了不同的马，我大胆猜测，你的机器被入侵有一段时间了，而且我再大胆一点猜测，你的机器配置并不高。（如果我猜错了，请轻点打脸

）

处理比较麻烦，因为扫描出来的不一定是全部，可能还有免杀的木马。

如果你觉得网站并不重要，你可以简单的把扫描出来的文件删除，如果是被插马的，早源文件上传，然后观察一点时间。

如果你觉得网站还是比较重要的，有备份，建议重新开一台机器，还原备份之后再修改域名解析，这样可以做到无缝衔接。（这是我给客户的常规做法）

fatiery · 发表于 2023-12-3 23:58:22

在再多啰嗦几句，因为我的客户都是跑广告的，他们只在乎网站是不是掉线，影不影响他们跑广告(赚钱)。我也只懂一点服务器知识，我不知道换IP会不会对SEO有影响。我不知道具体细节，你还是要根据你自己的情况处理。

我个人用了一圈之后，还是觉得宝塔的免费控制面板最好用。（国际版+中文包不验手机）。另外apache的并发太差了，nginx出来后，很多年了，一直都用的的nginx。个人观点，仅供参考。

其实漏洞什么的都很正常（每天都有漏洞爆出来，看看专门监控各种漏洞的网站就知道了），被黑也很正常，谁还没被黑过呢？作为小白，最重要的是做好备份和及时更新。

晕蛋疯亲 · 发表于 2023-12-4 09:57:14

别挣扎了，肯定有自动恢复程序，全部重装吧，该堵的漏洞要堵，不然重装还是会被黑

affiliateberry · 发表于 2023-12-4 10:06:05

悲剧了.....要找到原因不然还要遭....

我之前就是类似的，备份恢复又遭...

facebooko · 发表于 2023-12-4 19:17:48

一般都是网站漏洞，先全部chmod -R 444去掉写权限，删掉可疑文件，再按需开写权限

koko · 发表于 2023-12-6 18:42:19

本帖最后由 koko 于 2023-12-6 18:46 编辑

河小马发表于 2023-12-3 16:46
# ?8 E1 H- n, q+ `0 y/ f8 h这是被大量挂马了吧0 q6 E/ R: Z6 W2 M2 x8 H
我看还有shell.php

重装是什么意思？恢复备份肯定不行，因为备份可能已经有了病毒

这样行不行：删除掉所有WP的程序，只保留 wp-config.php，其它文件重新上传？

另外，病毒有没有可能被装进去数据库里？

河小马 · 发表于 2023-12-6 18:45:58

koko 发表于 2023-12-6 18:42. j0 ^- U- g* }" b5 L8 D7 K
重装是什么意思？恢复备份肯定不行，因为备份可能已经有了病毒
; F5 e/ Q6 N7 p5 F$ n: |5 n( s
. r, h) n' R1 l- x这样行不行：删除掉所有WP的程序，只保留 ...

一般是不会写入数据库的

blackhat · 发表于 2023-12-11 09:06:02

估计宝塔本身有洞洞，被搞了，面板的话如果不用php多版本，很简单自己搭一个，如果非用面板的话，cloudpanel.io挺好用的，简洁干净，带个防火墙，防火墙设置面板端口只允许自己的IP访问即可。

changshijun · 发表于 2023-12-17 06:26:13

只把程序的要用的写入目录权限打开，其他目录只能读；另外你查你的服务器日志，一般都能看出是怎么进来的，这种一般都是扫的

		自动登录	找回密码
密码			立即注册

谷歌+Bing+TT+MSN官方代理	⚡️按条S5代理⚡️静态⚡️独享⚡️5G	⚡️最干净<Wifi住宅+5G移动>IP代理	泰国仓储，本土仓发货2-3元/单
指纹浏览器，就用AdsPower	谷歌/FB/Bing/Yahoo代理商开户	7200W全球动态不重复住宅IP代理	BINOM TRACKER 60% OFF!
出售Facebook,友缘号,FB广告号,ins	FB/TT/KW 加白开户	ADPLEXITY + ADVERTCN	比Adplexity还好用的Spy工具
广	告	开	户
FB/Google/TK	海外多媒体	极速	下户
MediaGo+Taboola+Ob开户	百度国际MediaGo⚡️让产品狂奔全球	百度国际，高点击转化，快速放量	百度国际MediaGo，独家原生流量
虚拟信用卡+独立站收款	行业首创新型指纹Cloak, 谷歌奇效!	Kookeey⚡️100%独享⚡️原生住宅IP	⚡IPFoxy住宅代理全场88折⚡
全球虚拟卡, 支持U充值	各种主页、账单户、BM户（优势）	⚡️个人户，bm户不限额，账单户	Adsterra 的CPA/CPM/CPC 网站流量
在线注册美国/英国/香港等海外公司	EU KETO/CBD - Jumbleberry	FB二三解1元/个	9Proxy ⚡️ $0.04/IP, 无限带宽
cloak斗篷/ss/nutra/cpa/Dating	E.PN 虚拟卡	Asocks代理服务器$3/GB	高薪诚求实力FB投手（独立站）
《全新虚拟卡+全球收付款》	广告位出租	全球低价纯净住宅/移动IP-免费试用	广告代投, 东南亚物流, 虚拟信用卡
VMLogin指纹浏览器+多账号防关联

这是不是被植入病毒了？

本帖子中包含更多资源

点评

点评

点评

点评

点评

点评

点评

点评

社区QQ达人