Hacking

我收到一些關於暫停站點的消息,我必須對其進行調試,我該如何繼續?

  • August 13, 2012

可能重複:

我的伺服器被黑了 緊急

託管公司向其客戶提供了一封電子郵件,客戶希望我提供一些幫助。消息指出:

Any items listed here which are folders 
named with 5 to 7 random letters are are likely FTP account hacks

Checking for known bad files
/home2/1/public_html/images/sm6ay7.php
/home2/1/public_html/images/sm5ak0.php

Checking for known spam scripts
/home2/1/public_html/images/sm6ay7.php
/home2/1/public_html/images/sm5ak0.php
/home2/1/public_html/images/rssok4.php

These files are suspicious and should be looked at before deleting

The redirects in these files may not be legitimate. 
Often the actual file name will give you an idea if it is legit or not. 
If any .htaccess files are listed here, they need to be cleaned.


TimThumb fixes

Thumbs DB fixes

Completed

------------------------
 Trackback
------------------------ 

These results are likely valid files 
that have had code added to them so they should be cleaned 
rather than removed: 

------------------------
 .htaccess 
------------------------


------------------------
 General
------------------------
Started at: Sun Jul 15 15:55:04 MDT 2012

/home2/1/public_html/images/sm6ay7.php
/home2/1/public_html/images/sm5ak0.php
/home2/1/public_html/images/rssok4.php

Completed at: Sun Jul 15 15:55:05 MDT 2012 

------------------------
 Phish
------------------------ 

Started at: Sun Jul 15 15:55:05 MDT 2012

Completed at: Sun Jul 15 15:55:05 MDT 2012 

------------------------
 Base64
------------------------

程式碼在上面提到的文件中看起來像這樣。我不能說這些程式碼行是什麼。也不是程序員。由於文件位於圖像文件夾中,似乎很可疑。已經調查過但我不確定我是否將 WP 作為 CMS。

我確實可以訪問網站的控制面板,我嘗試SSH無法訪問可能是我需要處理的控制面板中的一些配置,主要問題是其中的垃圾郵件,對於SSH我會管理一些看配置的方式。文件。

.htaccess 配置設置。

IndexIgnore .htaccess */.??* *~ *# */HEADER* */README* */_vti*

<Limit GET POST>
order deny,allow
deny from all
allow from all
</Limit>
<Limit PUT DELETE>
order deny,allow
deny from all
</Limit> 

AuthUserFile /home/1/public_html/_vti_pvt/service.pwd
AuthGroupFile /home/1/public_html/_vti_pvt/service.grp

我是新手,一些幫助將不勝感激。關於辨識和經驗法則(如果有的話)進行調試。

您提供的文件絕對是遠端觸發的郵件機器人。我很快格式化了它,它組裝了一封電子郵件並使用mail(). 我沒有詳細研究它是如何工作的,但總體構想很明顯。有趣的是,它向我顯示了一個語法錯誤,所以它可能從來沒有工作過。

您需要清理伺服器。我建議您進行備份,然後刪除所有文件並從頭開始安裝他們使用的任何 cms。您可能可以安全地保留數據庫,它可能已經損壞,但至少應該沒有從那裡執行的程式碼。您還需要恢復圖像文件夾。如果只有幾個文件,請恢復那些實際上是圖像的文件(只需嘗試打開它們)。顯然不要恢復任何腳本(以.php、.pl、.py、.sh、…結尾)或執行檔(無結尾、.exe、.cmd、bat…)。請務必更改任何密碼並確保密碼正確。

您還需要閱讀他們使用的特定軟體的安全性。漏洞可能仍然存在,需要在任何消除病毒的努力有成功的機會之前加以修復。

引用自:https://serverfault.com/questions/416970