nginx被劫持 如何处置 急！

molynix

一台服务器，centos 6，安装了nginx，并且做了一定的安全防范，防止木马和非法解析
近期其中一个网站因为安全问题，被人上传了木马，木马名称是js.php，通过日志查看，黑客将木马复制到了其他的网站目录

网站被黑的现象是，访问网站的时候，输入网站域名，网站内的链接全部变为这个服务器的ip地址开头或者其他解析到这个服务器但没有使用的域名开头。重启了nginx服务后就恢复正常了。

现在问题是，我不知道木马和这个现象是否是有关联性，这个木马的作用就是浏览目录上传文件提取等。
另外我还想知道他是如何实现域名的劫持的，可以随意让所有页面输出同样的文字和内容，或者转向到其他域名或本机地址，原理怎样的，应如何解决？急求大虾相助。。。

llzqq

先分析一下木马文件的内容吧，另外我们一直强调尽量不要开放PHP的FILE UPLOAD功能。

uslw236

我感觉还是系统设置的问题..这个木马好像并不具备劫持域名的能力.

hero0524

不理解的是，你说的那个js.php这个木马文件是如何把网站内的所有url改掉了呢？
是谁执行了这个文件？怎么执行的？

molynix

会上面，js.php应该是修改了discuz论坛的域名解析部分，造成网站访问被劫持
我自己这样分析的，目前未发现系统入侵的迹象

webdna

太可怕了