linux服务器被挂马（服务器被挂马怎么办）

本篇文章给大家谈谈linux服务器被挂马，以及服务器被挂马怎么办对应的知识点，希望对各位有所帮助，不要忘了收藏本站喔。

本文目录一览：

• 1、求助：linux服务器遭挂马，如何对安全进行排查
• 2、linux服务器下的客户的ftp空间被挂马，无图形界面，用kloxo管理，怎么杀毒？
• 3、linux下所有html被加入iframe挂马
• 4、公司一台Linux服务器频繁被挂马，求解决方法
• 5、dedecms5.6被挂马了，linux系统，求各文件夹的权限设置，让对方就算知道漏洞都不能上传木马
• 6、linux服务器中木马怎么处理

求助：linux服务器遭挂马，如何对安全进行排查

常用的免费杀毒软件：

1、ClamAV 杀毒

ClamAV 杀毒是Linux平台最受欢迎的杀毒软件，现在正在用，非常好用，比如说你的ls命令被修改了，执行一次ls命令就启动一次病毒都可以扫描出来。可以把病毒扫描结果输出到日志，clamscan -r -i / -l /tmp/clamscan.log 具体安装很多，百度上都有。

2、AVG 免费版杀毒

现在有超过10亿用户使用AVG杀毒，同样是Linux机器中不错的杀毒专家，免费版提供的特性比高级版要少。AVG目前还不支持图形界面。提供防病毒和防间谍工具，AVG运行速度很快，占用系统资源很少，支持主流Linux版本

linux服务器下的客户的ftp空间被挂马，无图形界面，用kloxo管理，怎么杀毒？

如你怎么分配的权限了，根据的你提问，貌似不是很清楚。。。

如果权限分派的合理，不会影响其他用户

建议检查一下服务器的配置或请身边了解的人给检查一下

linux下所有html被加入iframe挂马

三种可能

1、服务器被黑。

2、服务器所在机架或者机房存在 arp 欺骗病毒的机器。

3、网络流量被网络通迅提供商劫持。

第一个问题是服务器自己的问题。

第二个问题是机房的问题。

区分它们的最好办法是计算机下架，更换地方或者找个局域网内部模拟 www 环境（搭建一个 DNS ，之后用服务器的原域名访问）就能区别出来。

第三个问题要看访问者那边如何了。现在的这种流量劫持都是浏览者方的网络提供商劫持，用 VPN 、匿名代理等方式转到别的地方去访问正常的话，那就是第三种。

这种嵌入 iframe 的攻击手段不需要修改你的什么东西，他会嵌入到浏览器服务器程序上，只有发送数据时才被添加。

你的 Linux 是什么系统？建议备份数据后重装系统到最新的 Linux 版本。

千万不要选择需要花钱才能进行升级的系统，除非你真的想花钱买升级服务才保证服务器的安全。

我觉得第一种的可能性很大，这个病毒接管了 html 的处理功能。

你试试这样：找一个会被改写的 html 文件，把它的扩展名改成 .php 看看是否恢复正常，如果恢复，那就是你的计算机里面 apache 的 html 模块被病毒接管了。注意你的 html 文件里面别出现 php 语法内容啊……

php 遇到纯 html 是可以继续工作的，他会直接输出原内容不进行处理。

公司一台Linux服务器频繁被挂马，求解决方法

安装LINUX杀毒软件，重新更换OA端口，我们这里不允许企业或者公司自建网站服务器，网站都是购买空间或者租用，托管服务器，，服务器根本不在自己公司，就减少了中毒，黑客的事情

公司也就留个什么OA服务器啊这些，换个端口，改密码，勤杀毒

dedecms5.6被挂马了，linux系统，求各文件夹的权限设置，让对方就算知道漏洞都不能上传木马

一般都是网站程序存在漏洞或者服务器存在漏洞而被攻击了

网站挂马是每个网站最头痛的问题，解决办法：1.在程序中很容易找到挂马的代码，直接删除，或则将你没有传服务器的源程序覆盖一次但反反复复被挂就得深入解决掉此问题了。但这不是最好的解决办法。最好的方法还是找专业做安全的来帮你解决掉

听朋友说 SineSafe 不错 你可以去看看。

清马+修补漏洞=彻底解决

所谓的挂马，就是黑客通过各种手段，包括SQL注入，网站敏感文件扫描，服务器漏洞，网站程序0day, 等各种方法获得网站管理员账号，然后登陆网站后台，通过数据库 备份/恢复 或者上传漏洞获得一个webshell。利用获得的webshell修改网站页面的内容，向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP，然后直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时，你就会自动的访问被转向的地址或者下载木马病毒

清马

1、找挂马的标签，比如有script language="javascript" src="网马地址"/script或iframe width=420 height=330 frameborder=0

scrolling=auto src=网马地址/iframe，或者是你用360或病杀毒软件拦截了网马网址。SQL数据库被挂马，一般是JS挂马。

2、找到了恶意代码后，接下来就是清马，如果是网页被挂马，可以用手动清，也可以用批量清，网页清马比较简单，这里就不详细讲，现在着重讲一下SQL数据库清马，用这一句语句“update 表名 set 字段名=replace(字段名,'aaa','')”， 解释一下这一句子的意思：把字段名里的内容包含aaa的替换成空，这样子就可以一个表一个表的批量删除网马。

在你的网站程序或数据库没有备份情况下，可以实行以上两步骤进行清马，如果你的网站程序有备份的话，直接覆盖原来的文件即可。

修补漏洞（修补网站漏洞也就是做一下网站安全。）

1、修改网站后台的用户名和密码及后台的默认路径。

2、更改数据库名,如果是ACCESS数据库，那文件的扩展名最好不要用mdb，改成ASP的，文件名也可以多几个特殊符号。

3、接着检查一下网站有没有注入漏洞或跨站漏洞，如果有的话就相当打上防注入或防跨站补丁。

4、检查一下网站的上传文件，常见了有欺骗上传漏洞，就对相应的代码进行过滤。

5、尽可能不要暴露网站的后台地址，以免被社会工程学猜解出管理用户和密码。

6、写入一些防挂马代码，让框架代码等挂马无效。

7、禁用FSO权限也是一种比较绝的方法。

8、修改网站部分文件夹的读写权限。

9、如果你是自己的服务器，那就不仅要对你的网站程序做一下安全了，而且要对你的服务器做一下安全也是很有必要了！

linux服务器中木马怎么处理

以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法：

一、Web Server（以Nginx为例）

1、为防止跨站感染，将虚拟主机目录隔离（可以直接利用fpm建立多个程序池达到隔离效果）

2、上传目录、include类的库文件目录要禁止代码执行（Nginx正则过滤）

3、path_info漏洞修正：

在nginx配置文件中增加：

if ($request_filename ~* (.*)\.php) {

set $php_url $1;

　 　}

if (!-e $php_url.php) {

return 404;

　}

4、重新编译Web Server，隐藏Server信息

5、打开相关级别的日志，追踪可疑请求，请求者IP等相关信息。

二.改变目录和文件属性，禁止写入

find -type f -name \*.php -exec chmod 444 {} \;

find -type d -exec chmod 555 {} \;

注：当然要排除上传目录、缓存目录等；

同时最好禁止chmod函数，攻击者可通过chmod来修改文件只读属性再修改文件！

三.PHP配置

修改php.ini配置文件，禁用危险函数：

disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg

四.MySQL数据库账号安全：

禁止mysql用户外部链接，程序不要使用root账号，最好单独建立一个有限权限的账号专门用于Web程序。

五.查杀木马、后门

grep -r –include=*.php ‘[^a-z]eval($_POST’ . grep.txt

grep -r –include=*.php ‘file_put_contents(.*$_POST\[.*\]);’ . grep.txt

把搜索结果写入文件，下载下来慢慢分析，其他特征木马、后门类似。有必要的话可对全站所有文件来一次特征查找，上传图片肯定有也捆绑的，来次大清洗。

查找近2天被修改过的文件：

find -mtime -2 -type f -name \*.php

注意：攻击者可能会通过touch函数来修改文件时间属性来避过这种查找，所以touch必须禁止

六.及时给Linux系统和Web程序打补丁，堵上漏洞

linux服务器被挂马的介绍就聊到这里吧，感谢你花时间阅读本站内容，更多关于服务器被挂马怎么办、linux服务器被挂马的信息别忘了在本站进行查找喔。