檢測文件執行發送郵件:沒有這樣的文件或目錄
我在同一個主機中安裝了一個 Wordpress 站點和一個 phpBB3 論壇(站點在根目錄中,phpBB3 在一個文件夾中)。從昨天開始,它的工作非常緩慢。我檢測到一些額外文件和新文件,我想有人入侵了我的 Wp 和 phpBB。我重新安裝了 phpBB,現在執行良好。我有待重新安裝 Wordpress。
我可以在 /var/logs/httpd/error_log 中看到每秒重複的下一條消息: sh: /usr/sbin/sendmail: No such file or directory
我如何知道正在嘗試發送電子郵件的文件是什麼?如何檢查被黑文件?
非常感謝你!
我真的建議您重新設置伺服器並更改所有密碼,這是您可以採取的最安全的方法。密碼更改是絕對強制性的,不要在新系統上使用相同的密碼。
我真的建議不要使用受感染的系統,因為你永遠無法確定你是否真的設法徹底清理了你的系統。如果您仍然想嘗試以下內容,我可以說一下您的情況:
顯然,您的 Apache Webserver 已被入侵,攻擊者極有可能使用 WordPress 或 phpbb,尤其是眾所周知的 WordPress 是一個大型攻擊媒介。現在,您的網路伺服器正在執行攻擊者註入的至少一個 PHP 腳本,該腳本試圖通過 sendmail “打電話回家”,顯然沒有安裝,這就是迄今為止為您節省的。如果您的伺服器配置正確,則 Apache 和 PHP 腳本無法訪問或修改 /var/www 或您用於儲存網頁的任何目錄之外的任何重要內容,因此極有可能沒有任何其他內容文件夾被洩露。我不會打賭。
至於擷取該腳本:您可以嘗試
LogLevel debug在您的 httpd.conf 中進行設置,但 PHP 以缺乏日誌記錄功能而聞名。還有一種可能是您在刪除未知文件時已經刪除了腳本,並且重新啟動將刪除惡意程式碼。但也可能是攻擊者註入了另一個隱藏腳本,該腳本在服務重新啟動後重新下載文件(如果失去)。長話短說:確保安全,重新安裝伺服器,更改所有密碼和密鑰,並檢查已安裝的 WordPress/phpbb 外掛/模組是否存在已知漏洞,以防止再次感染。