服务器发现 pbootCMS 被挂马后,最推荐的做法是保留数据库和配置文件,彻底替换官方核心程序文件,并排查所有近期被修改的脚本。
先说结论:不要试图只删除可疑文件,最稳妥的方案是覆盖核心程序并全面修改凭证。
- 先判断:确认网站是否还能访问,备份当前所有文件和数据
- 优先做:从官网下载最新内核覆盖本地程序,修改后台及数据库密码
- 再验证:检查网站功能是否正常,监控日志是否有异常请求
命令速用版
# 查找最近 7 天内修改过的 PHP 文件
find /www/wwwroot/your_site -name "*.php" -mtime -7
# 搜索常见的后门特征关键字(修正语法)
grep -r "eval" /www/wwwroot/your_site `--include`="*.php"
grep -r "base64_decode" /www/wwwroot/your_site `--include`="*.php"
# 安全覆盖核心文件(排除配置和数据目录)
rsync -av `--exclude`='config/' `--exclude`='data/' `--exclude`='upload/' /path/to/new_version/ /www/wwwroot/your_site/
# 查看当前运行的异常进程
ps -ef | grep php
ps -ef | grep www为什么会这样
pbootCMS 作为开源程序,历史上曾出现过若干安全漏洞,如果未及时更新内核,攻击者可能利用已知漏洞写入后门。此外,弱密码、服务器其他程序漏洞或 FTP 密码泄露,也都可能导致文件被篡改。后门文件通常伪装成正常文件,或者隐藏在深层目录中,单纯删除个别文件很难保证清理干净。
分步处理
1. 紧急止损与备份
立即停止 Web 服务或开启维护模式,防止攻击者继续操作。使用压缩工具打包当前网站目录和数据库,备份到本地或其他服务器,以便后续分析或回滚。
2. 获取干净的核心文件
访问 pbootCMS 官方网站下载最新版本的安装包。不要使用网上流传的“破解版”或旧版本,确保来源纯净。
3. 覆盖核心程序
将下载的核心文件解压到临时目录。使用 rsync 命令覆盖服务器上的旧程序文件,务必排除配置文件和数据目录,防止网站无法连接数据库或丢失用户上传内容。
4. 排查可疑文件
使用上述命令查找近期变动的文件。重点检查根目录、data 目录、public 目录。如果发现非官方文件,确认无用后删除。
5. 修改所有凭证
修改后台管理员密码、数据库密码、FTP/SFTP 密码以及服务器 root 密码。如果数据库中存有恶意脚本,需在数据库管理工具中搜索异常内容。
数据库后门排查
部分后门逻辑写在数据库字段中,程序调用后执行。登录数据库管理工具(如 phpMyAdmin 或命令行),根据实际表前缀执行以下查询示例:
-- 检查配置表中是否含有恶意脚本(默认前缀为 ay_)
SELECT * FROM ay_config WHERE value LIKE '%eval%';
SELECT * FROM ay_config WHERE value LIKE '%base64%';
-- 检查内容表中是否含有异常脚本
SELECT * FROM ay_content WHERE content LIKE '%常见后门文件路径清单
根据历史案例分析,pbootCMS 后门常隐藏在以下路径,请重点排查:
/data/common.db(SQLite 数据库文件,可能被直接篡改)/template/目录下的异常模板文件/public/或/upload/目录下的非图片类文件(如 .php)/runtime/缓存目录中的异常编译文件- 根目录下伪装成正常文件的脚本(如 config.php.bak, index_.php)
怎么验证是否生效
恢复网站访问后,观察首页及后台是否能正常打开。检查 Web 日志(如 access.log),看是否有频繁的特殊请求。使用安全扫描工具或在线木马检测服务对网站目录进行扫描。观察服务器 CPU 和内存占用,确认没有异常进程持续运行。
常见坑
1. 只删文件不改密码:攻击者可能留有其它入口,密码不改等于没修。
2. 覆盖时误删配置:覆盖核心文件时,务必保留原有的数据库配置文件,否则网站无法连接数据库。
3. 忽略数据库后门:部分后门逻辑写在数据库字段中,程序调用后执行,需检查数据库内容。
4. 权限设置过宽:网站目录权限应设置为最小必要权限,避免上传目录具有执行权限。
参考来源
- pbootCMS 官方网站,页面标题:pbootCMS 官网,URL:https://www.pbootcms.com/