请求帮助：关于自动清除木马的shell

likeislike

大家好，有事相求与大家！
最近几天网站被不定期的批量上传文件（一些木马，或者是一些投注网站），上传文件的属主为nobody（跟我apache里的user也是nobody）。可以确定黑客是通过程序漏洞植入木马。已经一周多时间了，我不停的在后面删，删完后没几个小时，黑客又不停的传，搞得一周都没睡好觉。这几天程序员在找网页漏洞，找到不少有问题的地方，但是现在还是没有阻止入侵。
另外，黑客还会自动更改我的文件夹权限，比如把权限为755的文件夹改为777。

由于技术欠佳，我只能采取很笨的方法查找和删除。

现求助大家帮我写两个shell程序：

1、可以批量删除文件的shell，要求如下：
查找/data/web下所有文件，并且排除/data/web/cache和/data/web/templats_c和其它的某些目录（这些目录每天都自动生成大量的缓存文件，所以要排除）最好是能单独写一个排除目录的文件，  查找属主为nobody的文件，自动删除！！！


2、可以批量修改文件夹和文件的：

批量修改/data/下所有文件夹的权限为755，批量修改所有文件的权限为644，同时跟上面一样，也要求可以排除某些目录（最好是一个单独的文件列表）。

以上两个shell或者命令，很期待您的帮助，以解我燃眉之急。。有机会到北京来我一定好好感谢！！！！！谢谢了！！！！

likeislike

谁能给点意见？？非常感谢！！！！！！！！！！拜托了

ljwd1000

删除操作

1. find . -type f -user nobody | grep -Ev "dir1|dir2|dir3" | xargs rm -rf

复制代码

755权限

1. find . -type d | grep -Ev "dir1|dir2|dir3" | xargs chmod 755

复制代码

644权限

1. find . -type f | grep -Ev "dir1|dir2|dir3" | xargs chmod 644

复制代码

blackold

回复 1# likeislike


    用find可以啊。写个shell就行了。

huangyu_945

先找一下是不是你webshell  

seesea2517

我觉得还是找漏洞更要紧。

Shell_HAT

testDel.sh

1. dirRoot="/data/web/"
   
2. fileExclude="/tmp/file_exclue.txt"
   
3. fileDel="/tmp/file_del.txt"
   
4. strExclue=""
   
5. while read line
   
6. do
   
7.     strExclue="$strExclue -path $line -prune -o"
   
8. done < $fileExclude
   
9. find $dirRoot $strExclue -type f -user nobody -exec echo rm -f {} \; > $fileDel
   
10. input=""
    
11. echo Pleae open $fileDel and verify the files to be deleted.
    
12. echo Press y to delete:
    
13. read input
    
14. if [ "$input" == "y" ]
    
15. then
    
16.     sh $fileDel
    
17. fi

复制代码

/tmp/file_exclue.txt

1. /data/web/cache
   
2. /data/web/templats_c

复制代码

likeislike

非常感谢！！！您帮了我的大忙了，祝您新年快乐！！！回复 7# Shell_HAT


   

likeislike

回复 3# ljwd1000
非常感谢！！！！