Centos PHP-Server Fehler

Question

Ich habe kürzlich einen Centos-Server mit plesk installiert, die gehackt worden war.

Alle Standorte Fehlerprotokolle werden nun Fehler zeigen:

[Wed May 31 12:37:12 2017] [error] [client 66.249.73.133] Premature end of script headers: index.php 
[Wed May 31 12:52:32 2017] [warn] [client 40.77.167.50] (104)Connection reset by peer: mod_fcgid: error reading data from FastCGI server 
[Wed May 31 12:52:32 2017] [error] [client 40.77.167.50] Premature end of script headers: index.php 
~ 

Ich habe noch nie so etwas gesehen, und ich habe mehr Stack-Überlauf Fragen durchgemacht.

Ich habe versucht, Neustart, Neustart httpd, alle grundlegenden Sachen und sogar das Zurücksetzen Ordner Vorbehalte von/var/www.

Kann jemand helfen?

Dank

Answer 1

Sie können versuchen, Plesk Domain PHP-Handler von FastCGI PHP-FPM (oder sogar wechseln von Apache zu Nginx)

auch etwas von diesen article wechseln können Ihnen helfen, oder vielleicht Plesk fragen Leute in Kommentaren.

Answer 2

Die Einträge "Ende der Skriptheader" werden wahrscheinlich durch das Problem mit dem PHP-Handler verursacht, wie in der anderen Fehlermeldung angegeben. Leider kann es mehrere Gründe geben, warum der Handler die Daten nicht lesen kann. Das scheint vielleicht ein Apache-Log zu sein? Können Sie ein FastCGI-Fehlerprotokoll erstellen? Da die meisten Angriffe nur auf den jeweiligen Benutzer zugreifen, der das Skript ausführt, und insbesondere weil ein Angriff Ihren PHP-Handler wahrscheinlich nicht falsch konfiguriert, könnten Sie versuchen, Probleme mit dem spezifischen Standortcode zu untersuchen. Berechtigungen können ein guter Ausgangspunkt sein, und wenn die Berechtigungen für das Hauptverzeichnis in Ordnung sind, können Sie sich andere Dateien ansehen. Vielleicht möchten Sie versuchen, einen neuen Benutzer zu erstellen und einfach einen phpinfo() ausführen; Skript von diesem Benutzer, um zu sehen, ob PHP selbst funktionieren kann.

Wenn ein Konto kompromittiert ist, ist nichts in diesem Benutzerkonto sicher. Das erste, was ein Angreifer normalerweise tut, ist das Hochladen einer Webshell. Von der Webshell aus hätte er Zugriff auf alle Dateien, auf die der Benutzer zugreifen kann. Da Malware-Scan-Tools in der Regel nur Fingerabdrücke von bekannter Malware finden, ist es am besten anzunehmen, dass das gesamte Konto kompromittiert ist und es aus einer Sicherung wiederhergestellt wird. Ihre Probleme sind möglicherweise schlimmer als PHP-Fehler.

Wenn der Server also keine Probleme mit einem neuen Konto hat, kann es am besten sein, diese Daten einfach wegzuwerfen und nach einer sauberen Kopie zu suchen, von der wiederhergestellt werden kann. Alternativ gibt es Firmen wie Sucuri, die Ihnen helfen können, einen Kompromiss zu finden.