网站被挂马，重装了ngnix还是出现，求救！

PORNOGRAPH · 发表于 2011-12-23 09:26:54

这段时间我的论坛根目录总是出现一个tongy.php文件，删除后不久又自动出来。
前天重装了ngnix，现在又是这样，真是烦透了。
真不知道这文件是怎么上传的。我连FTP和ssh密码全改了，还是这样。

天毅 · 发表于 2011-12-23 09:39:28

看log分析啊
直接下载log打开后搜索tongy.php，基本上就能知道了

PORNOGRAPH · 发表于 2011-12-23 09:45:11

我下载了几个log文件都找不到，难道我没下对？应该看哪个log呢？

wuxqing · 发表于 2011-12-30 23:31:57

参看nginx的配置文件
一般是conf/nginx.conf
然后找access_log，看看这个文件

如果还配置了虚拟主机
看虚拟主机的配置

另外，nginx不要用root用户
控制论坛目录的权限

看看论坛代码是否有漏洞：
find ./ -name "*.lbi" -exec grep -l eval\(\$_POST {} \;
find ./ -name "*.php" -exec grep -l eval\(\$_POST {} \;

还有，phpmyadmin这类的最好关闭或至少改名
mysql root密码不要是空的
给论坛单独的mysql用户