請求幫助：關(guān)于自動(dòng)清除木馬的shell

likeislike

大家好，有事相求與大家！
最近幾天網(wǎng)站被不定期的批量上傳文件（一些木馬，或者是一些投注網(wǎng)站），上傳文件的屬主為nobody（跟我apache里的user也是nobody）。可以確定黑客是通過程序漏洞植入木馬。已經(jīng)一周多時(shí)間了，我不停的在后面刪，刪完后沒幾個(gè)小時(shí)，黑客又不停的傳，搞得一周都沒睡好覺。這幾天程序員在找網(wǎng)頁漏洞，找到不少有問題的地方，但是現(xiàn)在還是沒有阻止入侵。
另外，黑客還會(huì)自動(dòng)更改我的文件夾權(quán)限，比如把權(quán)限為755的文件夾改為777。

由于技術(shù)欠佳，我只能采取很笨的方法查找和刪除。

現(xiàn)求助大家?guī)臀覍憙蓚�(gè)shell程序：

1、可以批量刪除文件的shell，要求如下：
查找/data/web下所有文件，并且排除/data/web/cache和/data/web/templats_c和其它的某些目錄（這些目錄每天都自動(dòng)生成大量的緩存文件，所以要排除）最好是能單獨(dú)寫一個(gè)排除目錄的文件，  查找屬主為nobody的文件，自動(dòng)刪除！��！


2、可以批量修改文件夾和文件的：

批量修改/data/下所有文件夾的權(quán)限為755，批量修改所有文件的權(quán)限為644，同時(shí)跟上面一樣，也要求可以排除某些目錄（最好是一個(gè)單獨(dú)的文件列表）。

以上兩個(gè)shell或者命令，很期待您的幫助，以解我燃眉之急。。有機(jī)會(huì)到北京來我一定好好感謝�。。。�！謝謝了！�。�！

likeislike

誰能給點(diǎn)意見？？非常感謝�。。。。。。。。�！拜托了

ljwd1000

刪除操作

1. find . -type f -user nobody | grep -Ev "dir1|dir2|dir3" | xargs rm -rf

復(fù)制代碼

755權(quán)限

1. find . -type d | grep -Ev "dir1|dir2|dir3" | xargs chmod 755

復(fù)制代碼

644權(quán)限

1. find . -type f | grep -Ev "dir1|dir2|dir3" | xargs chmod 644

復(fù)制代碼

blackold

回復(fù) 1# likeislike


    用find可以啊。寫個(gè)shell就行了。

huangyu_945

先找一下是不是你webshell  

seesea2517

我覺得還是找漏洞更要緊。

Shell_HAT

testDel.sh

1. dirRoot="/data/web/"
   
2. fileExclude="/tmp/file_exclue.txt"
   
3. fileDel="/tmp/file_del.txt"
   
4. strExclue=""
   
5. while read line
   
6. do
   
7.     strExclue="$strExclue -path $line -prune -o"
   
8. done < $fileExclude
   
9. find $dirRoot $strExclue -type f -user nobody -exec echo rm -f {} \; > $fileDel
   
10. input=""
    
11. echo Pleae open $fileDel and verify the files to be deleted.
    
12. echo Press y to delete:
    
13. read input
    
14. if [ "$input" == "y" ]
    
15. then
    
16.     sh $fileDel
    
17. fi

復(fù)制代碼

/tmp/file_exclue.txt

1. /data/web/cache
   
2. /data/web/templats_c

復(fù)制代碼

likeislike

非常感謝�。�！您幫了我的大忙了，祝您新年快樂�。�！回復(fù) 7# Shell_HAT


   

likeislike

回復(fù) 3# ljwd1000
非常感謝！�。�！