服务器大神来支招，网站被挂马！

@H3x 这个漏洞需要后台密码。难道我的后台密码泄漏了？

@wooyuntest 具体怎么拿到 shell 的？

开先看文件修改时间，再看服务器访问日志，在日志里搜索相关文件名看它是怎么执行的，帝国 CMS 在国产 CMS 里算是比较安全的，虽然说现在不更新了。

同 33 楼 发出访问日志 木马文件生成日期前后的部分
这种 cms 漏洞一大堆
一般是：
看 cms 版本，查漏洞，有漏洞，over ；没漏洞，下载来源代码，自己挖。要是没什么深仇大恨，没人会闲着没事挖你程序的漏洞

楼上也别瞎推荐 Windows Server 了。连 Linux 都搞不定，你让他去搞 Windows ？

帝国 CMS 让我联想到国内那些屎一样的程序和程序员

lz 有点顽固啊，听不进大家的意见。

@coolypf 主要是楼主那句 **业界公认**

@LioMore 你对帝国 CMS 为啥这么有偏见呢 哈哈！ 用过的人都觉得好！

日志放着干什么吃的，看看文件生成时间附近的日志

看了一下楼主主页 好像是 360 的 这个时候不是应该去找信息安全部和安服的大佬聊一聊看看这个帝国 cms 到底有多少漏洞吗？（逃

楼主能不能把贵站地址报出来

@surfire91 然后分享一下，大家用来做图床。。。

我怎么感觉楼上一堆傻逼，楼主你 ecms 用的什么版本的？还有各位为什么不可能是 Linux 服务器的问题呢？

@ningcool 用过的人都觉得好？保重

先看一下开放的端口
是不是有 redis
mysql 是不是有弱密码
再看看进程和计划任务

@anyclue

因为放这种木马就是为了得到系统的控制权。

窗被小偷锯了，一般不会去怀疑是不是小偷用钥匙开了门从里面锯的。

@anyclue
有啥不可能的？当然有可能是 Linux 服务器的问题。
但是槽点不是楼主觉得帝国 CMS 不可能有问题吗？

@ningcool 帝国 cms 也就国内用的多，出了国门基本没人用，wordpress 已经是世界第一大开源 cms 了，举个最简单的例子，wordpress 自身的漏洞是可以拿到 CVE 编号的，帝国的漏洞不可能拿到，原因就是影响力，你的眼界只局限在国内站长圈子当然觉得帝国好了，在我们这些做安全的人眼里，帝国和 wordpress 不是一个量级上的东西，不可相提并论。
对于漏洞，个人觉得应该是帝国自身或是插件的问题导致被上了 shell，漏洞不修补，这些 shell 也就是发几个 http 包的事情，我个人觉得，服务器有没有被提权先不表，肯定是有一个守护式进程一样的东西，要么在你服务器里面（类似于定时任务自动写入），要么在对方攻击机（对方定时过来发个包）那边，建议先自查 http 日志，看下什么时候谁访问了这个 php shell，记录 IP，给 ban 掉，日志的上下文有没有其他看起来比较可疑的访问请求，跟着访问一次，模拟一下当时的过程，如果有的话最好抓包，有流量就可以复现攻击过程，一点一点查，总会找到源头的