我已经安装了一个Wordpress网站和一个phpBB3论坛在同一个托pipe(网站在根和phpBB3在一个文件夹中)。 从昨天开始,它的工作非常缓慢。 我检测到一些extrange和新的文件,我想有人砍了我的Wp和phpBB。 我重新安装了phpBB,现在运行良好。 我有待重新安装Wordpress。
我可以在/ var / logs / httpd / error_log中看到每秒重复的下一条消息:sh:/ usr / sbin / sendmail:没有这样的文件或目录
我怎么知道哪个文件试图发送电子邮件? 我如何检查被黑文件?
非常感谢你!
我真的build议你重新设置你的服务器,并更改所有的密码,这是你可以采取的最安全的路线。 密码更改是绝对强制的,不要在新系统上使用相同的密码。
我真的build议不要使用被破坏的系统,因为你永远不能确定你是否真的设法完全清理你的系统。 如果你还想尝试一下,我可以对你的情况说一下:
显然你的Apache Web服务器已经被攻破了,攻击者很可能使用了WordPress或者phpbb,尤其是WordPress已经被认为是一个大型的攻击媒介。 现在,您的web服务器正在执行至less一个攻击者注入的PHP脚本,它试图通过sendmail“打电话回家”,这显然没有安装,这是迄今为止保存的。 如果你的服务器configuration正确,Apache和PHP脚本不能访问或修改/ var / www之外的任何重要的东西,或者你用来存储你的网页的任何目录,所以有一个非常小的可能性,文件夹得到妥协。 我不会赌它。
至于捕捉脚本:你可以尝试在你的httpd.conf中设置LogLevel debug ,但PHP已经知道它的日志loggingfunction。 当您删除未知文件时,您也可能已经删除了该脚本,并且重新启动将删除恶意代码。 但是也可能是攻击者注入了另一个隐藏的脚本,一旦服务重新启动,就会重新下载这些文件。
长话短说:安全起见,重新安装服务器,更改所有的密码和密钥,并检查已安装的WordPress / phpbb插件/ mods已知的漏洞,以防止再次感染。