HEX
Server: nginx/1.22.1
System: Linux iZuf67d4hh2ssx30nkok6dZ 3.10.0-1160.119.1.el7.x86_64 #1 SMP Tue Jun 4 14:43:51 UTC 2024 x86_64
User: www (1000)
PHP: 7.4.33
Disabled: passthru,exec,system,putenv,chroot,chgrp,chown,shell_exec,popen,proc_open,pcntl_exec,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,imap_open,apache_setenv
$ pwd: /tmp/
Upload Files
File: //tmp/shfava_cleanup_plan.txt
=== shfava.com 清理方案 ===

【感染情况】
1. 2 个 webshell (MOON): admin-e66a6ac3.php, cc3933/index.php
2. 11 个混淆恶意 PHP 文件
3. 42 个恶意目录(随机命名)
4. 24 个恶意 .htaccess 文件

【方案A:彻底重建(推荐)】
1. 备份数据库
2. 删除整个站点目录
3. 重新安装 WordPress
4. 恢复数据库
5. 重新配置

【方案B:尝试清理】
1. 删除所有 webshell
2. 删除所有可疑 PHP 文件
3. 删除所有恶意目录
4. 删除所有恶意 .htaccess
5. 检查 WordPress 核心文件
6. 更改所有密码

【建议】
由于感染太严重,建议使用方案A(彻底重建)
@ Telegram