黑客反反复复入侵

@yaott2020 纯猜测

@yaott2020 并不是

@rivercherdeeeeee 重装系统呗，实在找不到的话。把不需要的端口全关了，ssh 登录用私钥。做好权限管理。开个日志，看看有没有可疑 ip 入侵。

找人 ssh 上去看看

@rivercherdeeeeee web 日志，具体取决于你用的是什么，不过分析的话还需一点的专业知识

这玩意儿 大概率 ssh 密码登录被暴力破解了

prestashop 这个好像网上就有披露历史漏洞，看看是不是最新版本或者受影响版本

系统的定时任务和可以的服务啥的都检查了吗，有些基础的后门留存就是写个定时任务或者做个自启的服务，发现后门文件没了，重新去拉一份这种。另外有些更搞的，会直接修改系统的动态链接库，导致很多系统命令查看文件，是不显示恶意文件的，可以找 BusyBox 工具再检查一遍，有没有恶意的动态链接库文件。被黑过的系统，在我们公司默认都是不干净的，都是备份了数据重新装一台新的服务器。

应用本身的漏洞，如果没法定位和修复，就上个 waf 呗，另外如果是上了云的，可以用公有云自带的安全能力，安全上的事，还是需要找专业的人，你们公司看着就是没有安全团队的，不如找个安全服务的公司啥的，如果业务挺赚钱的，安全上的钱别省，如果中了勒索，真的是后悔都来不及。

如果已经提权的话，系统可能被污染了

开 ssh ，让我上去看看

不会溯源嘛。。从最开始的日志追溯攻击路径

中过一次招，还不赶紧把数据导出来，然后重装系统？

@defunct9 #30
虽迟但到

先得确定到底是哪些进程和用户在哪个时间点修改了文件权限啊。找几个监控文件修改的工具，看看是哪个进程干的

上 waf ，ip 加白，程序运行权限和 root 隔离

@rivercherdeeeeee #5 那就说明你的权限配置有问题

@rivercherdeeeeee #5 把你的线上程序和官方提供的对比一下差异，看看是不是还有后门没清理干净。然后暂时关掉不必要的上传功能，比如相关文件临时改名，等它更新修复后再恢复。

既然不是 ssh ，那就是通过服务入侵的。
php 写的，排除内存马，基本确定是文件马。这一类漏洞有两个入口，一个是文件上传，一个是文件包含。
用 webshell 扫描工具排查一下吧，多用几个工具。
web 目录下可以查看最近修改的文件，find . -type f -mtime 1
或者排查 php ，find . -name '*.php' -mtime 1
最后记得排查 rootkit 。排查完把后门删了，记得打备份。下次被入侵打一份新的环境，把旧的恢复了，分析入侵的环境

每个页面显示两边并不能证明被黑了
自己搞不定就花钱找靠谱的人解决

简单啊 初始化个 git init 然后推送到 git 私人仓库. 被 x 了之后 git status 查看修改就好了……