今天早上我发现我的服务器(debian VPS,apache,webmin / virtualmin)里的电影,文件位于/var/log/roundcube/./,用户/组是www-data
我查看了我的日志(apache,proftp,auth),并没有发现奇怪的行。 rkhunter发现没有什么不好的。
我如何检查文件的历史logging(在隐藏文件夹中)或者用户在这个文件夹中上传电影的方式。
我想这是一个后门,但是当我扫描我的网站,我发现没有什么不好的。
我想我会切断我的网站一段时间,看看有没有新的电影文件夹,如果是的话,这意味着用户有ftp / ssh访问或后门不在我的var / www /
感谢提前
鉴于文件的位置和所有权,我会假设攻击者通过Roundcube中的漏洞进入,然后上传文件。 真正解决这个问题的最好方法是在文件(stat movie.avi)上运行stat命令,并查看文件何时上载。 获得时间戳之后,您应该检查Apache日志以查看攻击者是如何进入的。rkhunter找不到任何东西,因为这不是实际的操作系统受到攻击,很可能是使用了Roundcube中的漏洞。 此外,为了确保不会再发生,您应该升级Roundcube并尽可能禁用shell_exec,allow_url_fopen,allow_url_include。