文件被刪除。可能發生了什麼?
我今天有一個奇怪的問題。今天早上我正在編寫和測試一些簡單的 cgi 腳本時,我意識到我無法從(windows)網路上的其他一台電腦上執行它們。所以我讓我的網路管理員進來看看發生了什麼。幾分鐘後,一位同事進來告訴我,他正在處理的一堆文件以及網路驅動器上的一堆其他文件(所有 *.c 文件)都被刪除了。他還注意到一些奇怪的 apache_dump_500.log.txt 文件位於文件被刪除的相同目錄中。
apache_dump_500.log.txt 文件都如下所示:
REDIRECT_HTTP_ACCEPT=*/*, image/gif, image/x-xbitmap, image/jpeg REDIRECT_HTTP_USER_AGENT=Mozilla/1.1b2 (X11; I; HP-UX A.09.05 9000/712) REDIRECT_PATH=.:/bin:/usr/local/bin:/etc REDIRECT_QUERY_STRING= REDIRECT_REMOTE_ADDR=<my computer's local ip> REDIRECT_REMOTE_HOST= REDIRECT_SERVER_NAME=<my computer's domain url> REDIRECT_SERVER_PORT= REDIRECT_SERVER_SOFTWARE= REDIRECT_URL=/cgi-bin/trojan.py
我看了看,我的 cgi-bin 文件夾中沒有任何 trojan.py。而且我所有的 apache 日誌都是乾淨的。Windows 事件記錄器似乎也沒有發生任何事情的痕跡。
我的 httpd.conf: http: //pastebin.com/Yny2Yh8v
我認為我們有某種病毒將這個 trojan.py 文件添加到我的 cgi-bin 中,執行腳本,並刪除了腳本和日誌中的任何痕跡。這是發生的事情嗎?
任何想法都將不勝感激!
可能嗎?當然。如果文件夾中的權限允許具有執行程序權限的使用者刪除文件,則可以輕鬆執行腳本來刪除/更改文件,然後自行刪除。
不過,我覺得這很奇怪,因為今天的蠕蟲和病毒主要針對次要目的,例如竊取資訊和監視使用者以竊取資訊(密碼、文件等),因此與過去的病毒不同,它們在破壞性方面突出聰明和創造力有效載荷,今天大多數惡意軟體都不想引起人們的注意。也就是說,來自通用黑客的腳本將自己命名為像“特洛伊木馬”一樣明顯的東西並繼續嘗試破壞網站以使其無法執行,除非它是內部人員或有議程的人,這是非常奇怪的。那將是我的懷疑。
也就是說,您是否在日誌中看到更多重定向?
您的所有開發人員機器和伺服器是否都更新了防病毒和惡意軟體掃描程序?間諜機器人?廣告意識?
如果伺服器被認為已被黑客入侵,您就不能再信任它了,因為它可能有後門軟體和/或日誌軟體。一旦執行某些東西以刪除文件並且沒有其他任何事情發生的痕跡,如果我發號施令,我想我想從已知的良好備份中擦除並重新安裝。安裝隱藏後門的可能性太大了。您的開發工作站可能也安裝了一些東西,我會使用最新的惡意軟體檢測軟體和防病毒軟體掃描所有這些東西。
您可以嘗試在硬碟上執行取消刪除程序或驅動器的塊級複製(離線,作為輔助卷連接到另一台電腦,因此它不執行作業系統和程式碼)以查看是否有該目錄中與該重定向匹配的程序,然後您可以嘗試分析數據。但這完全取決於您的內部專業知識、時間和需要知道的資訊(以及如果您的伺服器具有 RAID 卷,它的工作容易程度,因為如果您需要恢復伺服器,這樣做可能不可行。)如果這是一個生產伺服器,我想你不會花太多時間來檢查這個。如果它是一個開發伺服器,您也許可以騰出一兩天時間以一種或多或少“乾淨”的方式來處理它,以滿足您的好奇心或調查需求。將其暴露在網路中時要非常小心(保持離線!),最好不要從該驅動器啟動作業系統,因為它會執行會感染其他東西的後台木馬。一世’ d 將其作為輔助數據驅動器或從可引導的 Linux CD 執行以分析驅動器。如果這是您想要的方向,有許多法醫引導發行版可用於複製或分析驅動器的工具。