sohusec 发表于 2022-5-5 15:44:46

请问宝塔扫出来这是木马吗?能否删除



用宝塔自带的木马查杀工具扫出来十几条可疑文件。
我大致看了下是主体跟插件,到底是不是木马呢?能否直接删除。
各位有遇到过相似情况吗?求解惑

河小马 发表于 2022-5-5 16:08:19

我没用过宝塔

你可以去这些软件的官方网站重新下载一下插件,然后比对一下MD5,看看是不是被人强行篡改了

仅仅看文件名字,看不出来什么

sohusec 发表于 2022-5-5 16:51:28

河小马 发表于 2022-5-5 16:08
我没用过宝塔

你可以去这些软件的官方网站重新一下插件,然后比对一下MD5,看看是不是被人强行篡改了


谢谢河小马,我先去核实下

老P 发表于 2022-5-5 17:22:47

这不一定是木马,检测都是带有某些特征就会判定可疑,打开文件看看代码排除下。

sohusec 发表于 2022-5-5 17:45:25

老P 发表于 2022-5-5 17:22
这不一定是木马,检测都是带有某些特征就会判定可疑,打开文件看看代码排除下。 ...

请问木马是有什么特征吗

老P 发表于 2022-5-5 17:58:27

sohusec 发表于 2022-5-5 17:45
请问木马是有什么特征吗

这就太多了。
1. 执行系统命令: system, passthru, shell_exec, exec, popen, proc_open
2. 代码执行与加密: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13
3. 文件包含与生成: require, require_once, include, include_once, file_get_contents, file_put_contents, fputs, fwrite
等等等

小白龙 发表于 2022-5-5 18:32:04

宝塔也敢用 :D

cdwyd 发表于 2022-5-5 18:36:48

要是安装过破解版的插件或者主题的话那99%是有问题,常规插件主题一般不会用到敏感函数。

sohusec 发表于 2022-5-6 09:03:12

老P 发表于 2022-5-5 17:58
这就太多了。
1. 执行系统命令: system, passthru, shell_exec, exec, popen, proc_open
2. 代码执行与加 ...

牛皮,我记录一下 谢谢大神

sohusec 发表于 2022-5-6 09:04:22

cdwyd 发表于 2022-5-5 18:36
要是安装过破解版的插件或者主题的话那99%是有问题,常规插件主题一般不会用到敏感函数。 ...

用的正版:'(                                       

sohusec 发表于 2022-5-6 09:04:57

小白龙 发表于 2022-5-5 18:32
宝塔也敢用

:lol 吓得我赶紧把木马查杀工具卸载了

sead 发表于 2022-5-6 23:49:35

命令行搞明白,用原装的方式安装,权限设死,就算有PHP程序漏洞,直接无视(打开权限升级前有gitlab备份最好,毕竟开的瞬间可能也会被KO)。
有条件的可以使用gitlab进行程序备份,出问题了也方便查

sohusec 发表于 2022-5-7 09:26:02

sead 发表于 2022-5-6 23:49
命令行搞明白,用原装的方式安装,权限设死,就算有PHP程序漏洞,直接无视(打开权限升级前有gitlab备份最 ...

好的,我试试

zqm840527 发表于 2022-5-30 11:20:04

用clamAV扫

somniski 发表于 2022-5-30 12:21:08

有的是,有的是被误认的执行文件,做过游戏服务端的话应该会很清楚!
看看宝塔里的内存和CPU占用率,如果高的吓人,那就是挖矿!
顺便看下有没有人自动连接你的服务器!
页: [1]
查看完整版本: 请问宝塔扫出来这是木马吗?能否删除