我们有一个大的托pipe服务提供商的Linux服务器,大约有75个Joomla! 网站托pipe在它上面。 我们使用maldet每天扫描所有这些网站上的可能的恶意软件。 在上个星期左右,文件已经出现在/ tmp中
/tmp/20130930-202240-UkpAAEBaJ74AABlPLiMAAAAL-file-cdQfYQ /tmp/20131001-004117-Ukp8nUBaJ74AAGD@-W0AAAAD-file-P6KfRr /tmp/20131001-004128-Ukp8qEBaJ74AAGEdQ88AAAAI-file-W65Hp6 它们由用户运行的apache拥有,并且包含恶意编码的PHP代码。 我们想知道哪个或哪些网站受到攻击。 我们需要知道从哪里或如何创build这些文件。 显然,只有1个用户帐户控制着所有这些网站,所以很难缩小范围。
有没有办法审核Apache,并确定哪些网站正在创build这些文件?
谢谢,杰伊
您应该检查apache2-mod-itk并通过虚拟主机提供用户。 你会发现easilly哪个用户有问题,应该停止哪个虚拟主机,哪个文件被创build,哪个包通过你的iptables防火墙。
那么在共享的世界中变得容易
你有一个joomla网站的名单告诉你,哪个是过时的? 最近有一个丑陋的缺陷,允许远程执行代码
利用扫描程序将find你的网站,特别是。 当告诉他们运行哪个版本时,我的猜测是:每个过时的joomla实例都应该被调查。
也许关联/ tmp文件和你的Apache访问日志之间的时间戳? 根据您的时间戳分辨率和网站的繁忙程度,您可能能够确定哪些请求正在创build文件。
如果你使用的是ext4,你可以在ext4上closures一次,这样文件访问时间就可以模拟文件创build时间,并使用logging器将访问日志从apache发送到rsyslog,这些措施一起给你相当精确的时间戳,不一定是100%准确但很有可能足以跟踪事情。
要调整ext4选项,请参阅:
man 8 mount man 5 fstab
要调整Apache日志,请参阅:
http://httpd.apache.org/docs/2.2/logs.html
就像是:
CustomLog "|/usr/bin/logger -p local6.info" vhost_combined
要调整系统日志设置,请参阅:
man 8 rsyslogd