本来搭建这个博客纯粹就是为了记录一下自己的一些想法,所以自己在家搭个了服务器用。哪成想这也被盯上了,最近发现好多常用的路径都无法浏览了,还以为最近折腾Raspberry Pi的时候动了哪个文件,结果仔细看了下,/var/www/html/下面每个文件夹下都多了一个index.php文件,里面的代码都包含这一行:
上网搜了一下,它解码后就是
赶紧浏览到该路径,果然找到该隐藏文件,里面还是些php代码,于是随手删除了,忘了保存备份继续分析一下。反正每次浏览服务器上的任何一个文件夹,都会执行index.php里的这行代码。虽然手头没有留存该恶意代码,不过看名字含ico,虽然想冒充icon,但我猜十有八九我的机器是被用来挖矿了。
手动挨着检查了所有index.php,因为wp里本身就有很多index.php,发现WP的并没有几个受影响,主要还是在其他文件夹里。因此手动删除所有多余的index.php或该行代码,目前看好像是正常了。
网上好多加固WP的文章,自己试了几个,有胜于无吧。
先放一下用到的命令在此备份一下:
//find php file containing that line and use sed to remove that line in place.
从所有php文件里找出包含\057va这个字符的所有行并删除该行(/d是删除, -i是in place 文件内替换)
find . -name "*.php" -type f | sudo xargs sed -i -e '/\057va/d'
在当前文件夹里找到所有index.php文件并删除
find . -name "index.php" -type f -delete
备份用, 压缩www文件夹为一个zip文件(排除某些文件夹):
cd /var/www/html
zip -r ~/www.zip . -x share\* -x songs\* -x upload\*
同时也要检查是否有定时任务 crontab -l 空, sudo crontab -l 也是空,放心了,没有自动计划任务。
最后用此命令检索查看一下具体某天被修改或动过的文件:比如查找4月11日
find . -newermt 2019-04-10 ! -newermt 2019-04-12