服务器被入侵了。怎么办？

备份数据之后重装。关掉 ssh 的密码验证，只用证书。

@Livid 有很多很多个网站，备份有啥好的选择吗？

怎么知道是因为啥原因入侵了，我觉得不是ssh的原因。

查看服务器日志吧。

网站是否使用了 PHP？是否使用了开源程序？

@shiny :P DeDe

@shiny 是的。全是php 全是开源。我觉得应该是程序漏洞，但是不知道如何侦查。。

@msputup 好多好多好多。。。。网站太多了。。

@Livid 不一定是 ssh 的原因，webshell 的可能性更大。

@ivenvd 我觉得就是webshell。但是这个怎么破？

@BackBox 看看访问日志里面有没有线索，注入之类的话应该会有不寻常的 URL 吧？

@ivenvd 难道没有工具可以分析日志吗？手动分析有点困难。

@BackBox 有工具可以分析，但是具体的我没有了解过，你可以通过webshell入手，或者通过文件创建时间这类入手。另外dede的漏洞实在太多了。

首先扫webshell和一句话，因为大部分人更喜欢用菜刀。
如果没找到。
可以试下列各网站目录，然后查看文件修改时间（比如dede很多漏洞，都会创建文件或者修改某个文件），当然这是一个笨方法的。
还有个方法，自己模拟入侵一遍。哈哈，漏洞全知。

另外针对这类的话，主要原因还是在于权限上

@BackBox 就我线上的几个 dede 系统（听说一些 wordpress 系统也被webshell 了）来看，很容易被批量扫描，自动写入 ddos 客户端。你说的特征很像这种情况。

你可以试试搜索 php 文件里的 eval 字符串（比如在 Linux 下到 web 目录输入「grep -r "eval(" . --include=*.php」） 很容易抓出有问题的木马。

有不少临时解决办法。

@BackBox 你站太多是不应该看日志的。站多，首先应该考虑禁用一部分函数（比如 ignore_user_abort、set_time_limit、fsockopen），甚至关停一些垃圾站或者关闭 PHP 权限。

如果网站比较重要，首先应该抓到木马客户端，根据文件创建时间查该天日志，找到入侵漏洞来源然后补漏洞删文件。删除没有用到的组件。另外还要做权限设置。

@msputup 自己咋入侵。。

@BackBox 比如你服务器上有10个DEDE站，10个wordpress站。
wordpress的安全性是大于dede的。所以先检测dede站
如 www.adede.com www.bdede.com
先自检测adede.com的漏洞
再检测bdede.com的漏洞

@msputup 问题是用啥检测。。

找到了木马文件了。。
已经删除了。
但是还是有点问题。。。。。

周末重装算了。。。

重装解决不了问题的，还是会被入侵，dede是个万年坑，楼主早点跳出来比较好。

@BackBox 自己手动，一般的入侵方法，百度搜索下就有了。像dede这类的，多数是用0day，另外，dede最好删除member文件夹，还有data文件夹需要做什么的给忘记了。
就像dede最新的0day貌似是利用plus下的一个文件的。

@lvye 恩恩。。
有啥好用 简单易上手的cms推荐？

@lvye 已近决定跳出来了。
@msputup
@shiny
找到了那个入侵者的ip。。有啥办法对付他吗。

@BackBox 没办法，IP一般都不是固定的。而且有些可能是V.P.N了。所以无解。

@msputup 应该不是。。
日志多处都说的是那个IP...

@BackBox 那可能是通过服务器做跳板的。

看描述应该是骇客在你的服务器上种植了个php ddos工具用来作为botnet攻击别人……