nginx被劫持 如何处置 急!
本帖最后由 molynix 于 2013-01-05 11:51 编辑一台服务器,centos 6,安装了nginx,并且做了一定的安全防范,防止木马和非法解析
近期其中一个网站因为安全问题,被人上传了木马,木马名称是js.php,通过日志查看,黑客将木马复制到了其他的网站目录
网站被黑的现象是,访问网站的时候,输入网站域名,网站内的链接全部变为这个服务器的ip地址开头或者其他解析到这个服务器但没有使用的域名开头。重启了nginx服务后就恢复正常了。
现在问题是,我不知道木马和这个现象是否是有关联性,这个木马的作用就是浏览目录上传文件提取等。
另外我还想知道他是如何实现域名的劫持的,可以随意让所有页面输出同样的文字和内容,或者转向到其他域名或本机地址,原理怎样的,应如何解决?急求大虾相助。。。 先分析一下木马文件的内容吧,另外我们一直强调尽量不要开放PHP的FILE UPLOAD功能。 我感觉还是系统设置的问题..这个木马好像并不具备劫持域名的能力. 不理解的是,你说的那个js.php这个木马文件是如何把网站内的所有url改掉了呢?
是谁执行了这个文件?怎么执行的? 会上面,js.php应该是修改了discuz论坛的域名解析部分,造成网站访问被劫持
我自己这样分析的,目前未发现系统入侵的迹象
;P
太可怕了
页:
[1]