中木马了寻找高手

lyqx · 发表于 2010-9-4 09:38:22

用的PHP168 V6.02，发现中了木马，在/php168/config.php 里的“$webdb['copyright']= 下加载如下内容：

<A href=http://www.hltxx.cn/bbs/Resource/Classical/fei4lanme.htm>六和采图库& lt;/A><A href=http://www.gdzcrd.gov.cn/Foosun/Admin/Js/Img/fei5lanniao.htm>曾道人</A><A href=http://www.666625.com.cn/>六和彩</A><A href=http://space.yaolan.com/U50350281>曾道人</A><A href=http://www.fc688.info/>六和采资料</A><A href=http://www.shaguabibi.info>*****采</A><A href=http://www.jmsaic.gov.cn/thinknet/images/xue666.htm>曾道人</A& gt;<A href=http://www.999933.com.cn>曾道人</A><A href=http://www.gdzczx.gov.cn/hi/2010/2/fei6lanfeng.htm>六和采论坛</A& gt;<A href=http://www.0745.me/baby/Mother/Prepregnancy/fei7lanhai.htm>六和彩& lt;/A><A href=http://www.23476.com/>六和采资料</A>

，这些内容显示在网页下部的foot版权区域，删除这些内容后，只要有缓存动作，就会重新出现。把文件设置成无操作权限，则连网页也打不开了，观察是因为要重写该文件。怀疑是在哪个地方隐藏了一个相同的文件，只要启动页面就会自动覆盖加载同名文件。我找不到这个木马，168论坛上给不出不全新安装就能解决的方法，发到这里来看看有没有人遇到过这样的情况。是在不行就只有重装了，苦啊。

开心私塾 · 发表于 2010-9-4 09:54:17

备份数据库，然后重新安装吧，或者联系一下hostmonster客服看看。

lyqx · 发表于 2010-9-4 09:58:16

谢谢了。
再问一下，在主域名根目录下有个文件夹“ruby“是干什么的？

开心私塾 · 发表于 2010-9-4 10:06:31

这个应该是与ssh这个有关吧，具体的不是很清楚。

goldstein · 发表于 2010-9-4 22:19:23

木马加载途径很多，建议重装。

goldstein · 发表于 2010-9-4 22:20:36

Ruby 国外这么流行的脚本语言天朝居然没人知道？

http://zh.wikipedia.org/zh-cn/Ruby

[其他] 中木马了寻找高手

HostMonster讨论