安装的lnmp,论坛首页被人篡改的两次
发现这个事情是前天晚上,论坛首页被修改了(discuz , index.php),导致首页不能访问,我替换了原版文件恢复了第二个晚上又发现首页字体被改了,我替换了原版又恢复了
现在我不知道黑客是怎么入侵的,应该只是恶作剧,因为只是修改了首页玩
我现在有几个问题:
1、他是不是给自己开了一个账号,我怎么查才能查到是不是有陌生的新账号
2、我要怎么做才能阻止他的下一步恶作剧? 系统用户都在:/etc/passwd
升级到最新版的程序,排查网站目录下是否有可疑文件,这一个很重要,没清除干净php木马的很可能很快又会被入侵
开启nginx日志了的话可以看一下日志里有没有可疑的php文件的访问记录。
去掉不需要直接访问php文件目录的执行权限:https://www.vpser.net/security/lnmp-remove-nginx-php-execute.html
更改加强系统、网站等管理账户的密码
php5.2可以按https://bbs.vpser.net/viewthread.php?tid=8639&page=2&fromuid=3#pid29372 设置一下防跨站
php5.3可以按https://bbs.vpser.net/thread-8639-1-1.html 这个防跨站
phpmyadmin之类的要改名或者设置只能指定的ip方案 解决跨站后果然就没了
页:
[1]