我发现我的一个分区已经满了。
rootfs 20G 1,8G 17G 10% / /dev/root 20G 1,8G 17G 10% / devtmpfs 7,8G 184K 7,8G 1% /dev none 7,8G 0 7,8G 0% /dev/shm none 7,8G 600K 7,8G 1% /var/run none 7,8G 0 7,8G 0% /var/lock none 7,8G 0 7,8G 0% /lib/init/rw /dev/md3 1,8T 1,6T 177G 90% /var none 7,8G 600K 7,8G 1% /var/run none 7,8G 0 7,8G 0% /var/lock 用一些recursion的du -sh * | sort -n du -sh * | sort -n ,我发现我的/var/tmp有2个文件夹属于万维网数据
root@ns384990:/var/tmp# ls -la total 76 drwxr-xr-x 2 www-data www-data 36864 2014-10-27 00:11 .. drwxrwxrwt 4 root root 4096 2014-10-29 06:30 . drwxr-xr-x 2 www-data www-data 32768 2014-10-01 18:40 . .. drwxr-xr-x 21 root root 4096 2013-07-23 11:49 ..
我去的..文件夹cd ' .. ' (是的,2次逃跑…我疯了,因为我没有看到第二次逃脱,它需要我几个小时才能find它)
而在这里,我得到的内部…几个电影和系列
root@ns384990:/var/tmp/ .. # ls -la total 1580112096 drwxr-xr-x 2 www-data www-data 36864 2014-10-27 00:11 . drwxrwxrwt 4 root root 4096 2014-10-29 06:30 .. -rw-r--r-- 1 www-data www-data 644663385 2014-10-18 18:05 10.Things.You.Dont.Know.About.S01E02.Abraham.Lincoln.720p.HDTV.x264-DHD.mkv -rw-r--r-- 1 www-data www-data 634213806 2014-10-24 09:44 10.Things.You.Dont.Know.About.S01E05.The.OK.Corral.720p.HDTV.x264-DHD.mkv -rw-r--r-- 1 www-data www-data 4743372800 2014-09-19 01:41 21.2008.BluRay.720p.x264-WiKi.tar
… 1.5的电影和系列发送“我不知道如何”,并放在我的/ var / tmp中
我怎样才能find脚本允许写这个? 什么是日志文件或命令我可以用来跟踪发生了什么?
这里是我的操作系统信息:
Linux ns384990.ovh.net 3.8.13-xxxx-std-ipv6-64#3 SMP Fri May 31 13:14:59 CEST 2013 x86_64 GNU / Linux Ubuntu 10.04.2 LTS
欢迎来到Ubuntu! *文档: https ://help.ubuntu.com/ Ubuntu 10.04.2 LTS
**编辑1:刚刚find脚本:**
**链接被删除,因为它包含恶意软件**(把它放在这里太长)
这不是使用哪个脚本来进行这些上传的问题; 问题是使用什么漏洞来创build用于进行这些上传的脚本。
你可以通过Apache访问日志,并尝试与http请求创build这些文件的创build时间戳。
此外,我会build议考虑加强你的open_basedir选项。 你运行什么types的网站? 尝试search由www数据用户所拥有的奇怪的PHP文件
find / -type f -iname'* .php *'-user www-data
另一个经常使用的技巧是在.htaccess定义AddHandler或AddType来将非php扩展parsing为php代码。 因此,您可能需要查看系统中所有.htaccess文件的匹配结果,以及是否有任何奇怪的扩展名映射为运行,因为php代码也使用这些扩展名来检查文件。