可能重复:
我的服务器被黑了应急
今天早些时候,我在我的一台服务器(运行Ubuntu Server 10.04)上发现了很多奇怪的文件,我不明白他们是如何到达那里的。 可能是某种XSS注入,需要在我的应用程序中进一步挖掘。
我发现的; 包含完全相同的文件和文件结构的短名称(“wesz”,“aog0”,“uioolz”,…)的多个域的多个目录。 谷歌没有告诉我任何有关这些文件或目录,所以我把它们放在这里 。 它看起来像是一个针对微软Live的MITM的登陆页面,它是用户。
文件结构:
- uioolz (or similar short named directory) dataz.php index.php go.php smart.php - fll <HTML, CSS & JS files for MITM> 有没有人认识到他们和/或可以告诉我他们如何能出现在我的网站?
我已经运行了多个工具来检查root工具包,挖掘日志,bash历史logging等等,但是我找不到任何表明攻击者有shell的东西(或者他们真的很擅长隐藏它)。 find的目录和文件也有apache用户作为所有者和组,这可能表明他们是通过注入攻击上传的。 但是,我发现在多个web根目录中完全相同的文件和目录,没有任何共同点的域名仍然存在bug。 这可能表明他们实际上有一个壳…但是并不是服务器上的所有域都受到攻击,只有一小部分。
我如何继续? 目前我没有机会做一个干净的安装,但会完成。
是否有任何有用的工具可以检查XSS或其他types的注射病毒?
我还可以补充说,入侵者文件似乎发送信息到两个外部域(特别是一个gta.php);
http://colorpop.com/wp-content/plugins/mailchimp/gta.php?info=<BASE64-INFO> http://oderena.lt/gta.php?info=<BASE64-INFO>
通过代理注册商注册的域名。