今天我有一个奇怪的问题。 当我意识到我无法从(Windows)networking上的其他计算机上运行它们时,我正在编写和testing一些简单的cgi脚本。 所以我让我的networkingpipe理员进来看看发生了什么事情。 几分钟后,一位同事进来告诉我,他正在使用的一堆文件以及networking驱动器上的一堆文件(所有* .c文件)都被删除了。 他还注意到一些奇怪的apache_dump_500.log.txt文件在文件被删除的相同目录中。
apache_dump_500.log.txt文件看起来像这样:
REDIRECT_HTTP_ACCEPT=*/*, image/gif, image/x-xbitmap, image/jpeg REDIRECT_HTTP_USER_AGENT=Mozilla/1.1b2 (X11; I; HP-UX A.09.05 9000/712) REDIRECT_PATH=.:/bin:/usr/local/bin:/etc REDIRECT_QUERY_STRING= REDIRECT_REMOTE_ADDR=<my computer's local ip> REDIRECT_REMOTE_HOST= REDIRECT_SERVER_NAME=<my computer's domain url> REDIRECT_SERVER_PORT= REDIRECT_SERVER_SOFTWARE= REDIRECT_URL=/cgi-bin/trojan.py 我看了,我的cgi-bin文件夹中没有任何trojan.py。 而我所有的Apache日志都很干净。 Windows事件logging器似乎没有任何发生的痕迹。
我的httpd.conf: http : //pastebin.com/Yny2Yh8v
我认为我们已经有一种病毒,将这个trojan.py文件添加到我的cgi-bin,运行脚本,并删除脚本和日志中的任何痕迹。 这是发生的事情吗?
任何想法任何将不胜感激!
可能吗? 当然。 如果文件夹中的权限允许执行进程的特权的用户删除文件,脚本可以很容易地运行删除/更改文件,然后删除自己。
然而,我发现这很奇怪,因为今天的蠕虫和病毒主要是以窃取信息和监控用户窃取信息(密码,文档等)为目的的次要目的,所以与过去的病毒不同,突出了其破坏性的聪明和创造性有效载荷,今天大多数恶意软件并不想引起注意。 也就是说,从一个普通的黑客手中,脚本的名字就像“木马”一样明显,然后继续尝试破坏一个网站,以防止它运行,除非它是内部的人或者有一个议程。 那将是我的怀疑。
这就是说,你在日志中看到更多的redirect吗?
是否所有的开发人员机器和服务器都更新了防病毒和恶意软件扫描程序? Spybot蠕虫? 广告意识?
如果服务器被认为是被黑客入侵的,那么就不能再信任它,因为它可能有后门软件和/或日志软件。 一旦有东西运行删除文件,并没有发生什么事情的其他痕迹,如果我打电话,我想我想擦拭,并从一个已知的良好的备份重新安装。 有太多的机会可以安装隐藏的后门。 你的开发工作站也可能安装了一些东西,我会用最新的恶意软件检测软件和防病毒软件扫描它们。
您可以尝试在硬盘上运行一个取消删除程序,或者在驱动器的块级克隆(脱机,作为辅助卷连接到另一台计算机,以便它不执行操作系统和代码)来查看该目录中是否有程序匹配redirect,那么你可以尝试分析数据。 但这完全取决于您的内部专业知识,时间和需要了解的内容(如果您的服务器具有RAID卷,它将如何工作,因为如果您需要恢复服务器,则可能不太可行)。如果这是一个生产服务器,我认为你不能花太多时间来检查这个。 如果它是一个开发者服务器,那么你或许可以花一两天时间或多或less的“干净”来满足你的好奇心或调查需求。 只要小心将它暴露给networking(保持离线!),最好甚至不要从该驱动器启动操作系统,因为它可以运行后台木马,将传染其他东西。 我将它作为辅助数据驱动器运行,或从可启动的Linux CD运行,以分析驱动器。 有许多法医引导发行版可用于克隆或分析驱动器的工具,如果这是你想要去的方向。