我在我的服务器上发现了一个未经授权的文件,在将其下载到我的电脑后,我的杀毒软件将其识别为病毒Backdoor:PHP/C99shell.I
任何人都可以请指导我如何跟踪黑客和安全我的服务器?
谢谢。
C99是一个众所周知的PHP shell,它为您提供文件访问,执行系统命令的界面,尝试和根服务器的自动化漏洞,mysql浏览器等。这对您的计算机是无害的,它只影响Web服务器。
至于如何去那里,有很多方法可以被攻击。 最常见的是RFI / LFI,虽然shell也可以通过SQL注入,站点上的pipe理员帐户(取决于软件)或者受损的FTP细节获得。
至于接下来要做什么 – 假定您网站上的所有内容都已被泄露。 这意味着改变和cPanel,SQL,FTP的密码。 对网站进行全面清理几乎是不可能的,特别是如果没有对代码的深入了解,以及编程技巧水平非常高。
说实话,你最好的办法就是从网站上删除一切,并从已知的好备份中恢复。 如果你使用标准的PHP软件,上传一个新的版本,并从那里工作。 您也可能希望联系您的networking主机,看看他们是否可以帮助日志或备份。 确保你的软件在网站上也是最新的。
您的计算机上可能存在病毒,当您上传文件时会添加恶意代码。
如果是我,我会先看看正在提供的文件。 如果有人可以写入你的网页文件,那么他们都会被怀疑 – 现有的任何一个PHP脚本都可能被修改为包含另一个后门程序。 你可以看看文件的修改时间,看看最近是否有修改,但即使这些不是100%可信。 一些常见的东西是攻击者执行缩小的string混淆了一些事情。 因此,我喜欢在PHP脚本中search任何“exec”函数。 这实际上是一个可以禁用的function。
在通过文件之后,我会确保我build立的新环境(因为我不再相信那个被背叛的环境)不容易受到这种攻击。 首先,我会限制Web服务器上的写入权限,以便服务运行的用户不能创build文件。 挂载他们必须写入的目录作为noexec等。还有其他选项,以及根据您的操作系统。
如果你想追踪后门的起源,你可以通过你的networking日志查看后门脚本的第一个引用,然后把访问它的IP,看看你的服务器上访问了什么。