緊急求助，服務(wù)器經(jīng)常被黑客上傳文件�。�！

likeislike

各位論壇的朋友：
大家好，我有問(wèn)題求助于大家，在此先謝謝你們了�。�

我們公司web服務(wù)器最近幾天都遭黑客上傳大量投注、游戲頁(yè)面（每天都上傳好幾萬(wàn)個(gè)html文件），每天都上傳兩三次，防不勝防！不知道是通過(guò)什么途徑上傳來(lái)的，我檢查了日志（last、lastlog、w）等，都沒(méi)有發(fā)現(xiàn)異常。今天問(wèn)南飛螞蟻，他說(shuō)應(yīng)該是通過(guò)程序漏洞上傳的，并且讓我改了apache的user為nobody。修改后，今天下午發(fā)現(xiàn)上傳的文件屬主為nobody，原來(lái)apache的user為liling，他上傳的文件屬主為liling。這樣是不是可以判斷他是通過(guò)程序漏洞，用工具掃描，自動(dòng)上傳的？？？？

另外，可能網(wǎng)頁(yè)被他植入了木馬，或者修改了某些文件我們發(fā)現(xiàn)不了。（因?yàn)樗�上傳的有些文件日期是好幾個(gè)月以前的，是不是他修改了文件日期？？）而且網(wǎng)站文件太多，要一個(gè)個(gè)查找?guī)缀醪豢赡埽�有什么好的辦法呢？？同時(shí)，服務(wù)器應(yīng)該做什么安全措施，比如php配置或者apache配置做添加一些安全配置？？

這個(gè)黑客騷擾我們好幾天了，讓人頭疼。麻煩大家給點(diǎn)意見�。�！謝謝你們了��！

EeeLo

用的rootkit吧，重裝？我也小白

chenyx

檢查web服務(wù)器的日志,只要上傳文件,日志里面就會(huì)記錄,在日志里面過(guò)濾post關(guān)鍵字,看看是通過(guò)什么程序上傳的

q1208c

不是 rootkit .

典型的php的問(wèn)題. 查代碼吧.

不過(guò), 建議先下線這臺(tái)機(jī)器, 重裝一臺(tái)放上來(lái), 把 apache php的 bug 先f(wàn)ix一下. 然后再細(xì)查代碼. 如果沒(méi)有必要上傳, 禁止上傳文件.

likeislike

謝謝�。。�！這兩天正在檢查程序，發(fā)現(xiàn)程序有不少問(wèn)題�。。『诳蛻�(yīng)該是用工具掃描注入的��！

likeislike

回復(fù) 3# chenyx


感謝回復(fù)��！請(qǐng)問(wèn)有什么好的在線掃描日志的工具嗎？日志文件太大了，要下載下來(lái)太慢


   

chenyx

樓主搜索 sql 注入工具 吧,網(wǎng)上有很多的.
一天上萬(wàn)個(gè)頁(yè)面,我懷疑不是黑客上傳的,很可能是上傳了程序,程序生成的.
日志直接在linux上處理吧,你復(fù)制日志文件到用戶目錄下,用grep進(jìn)行過(guò)濾,慢慢查,很累人的.

likeislike

謝謝哥們，祝你新年快樂(lè)�。。�！
回復(fù) 7# chenyx


   

zhuw1989

我以前維護(hù)的web服務(wù)器也出現(xiàn)過(guò)這樣的問(wèn)題，有可能通過(guò)后門程序上傳的吧，以上次的文件為線索，查找上傳工具，然后再?gòu)娜罩局蟹治龇欠ú僮骱推銲P，限制非法IP的訪問(wèn)，從非法操作中查找系統(tǒng)漏洞，最后修補(bǔ)漏洞，問(wèn)題的關(guān)鍵是找到線索。如果是后門程序，可以檢查非法頁(yè)面，分析相關(guān)頁(yè)面源代碼來(lái)查找。另外，最好有日志分割的腳步，這樣分析當(dāng)天的日志會(huì)好簡(jiǎn)單多了，我認(rèn)為不需要把日子下載下來(lái)，在服務(wù)器上用命令分析更快速。

likeislike

謝謝你的回復(fù)�。�！這兩天一個(gè)個(gè)文件檢查，找到不少木馬文件，同時(shí)把很多沒(méi)有必要的或者有安全問(wèn)題的程序刪除了，今天暫時(shí)沒(méi)有發(fā)現(xiàn)新上傳的文件！看這兩天的情況了，但愿能徹底組織。祝你新年快樂(lè)��！回復(fù) 9# zhuw1989