所以我有一个感染恶意软件的客户端服务器。 基本上服务器上的任何index.php文件都受到感染,以及header.php,function.php。 感染似乎主要是WordPress的网站,虽然其他types的网站驻留在帐户以及。 hack似乎在名为“..”的文件中生成某种types的“密钥”。该文件即使被删除,也会在几分钟内返回。 (大概10或15分钟)。 我已经提前清理了一些脚本中find的受感染的文件。 这里是我的问题,我假设如果我能find重新生成服务器上“..”文件的文件,我想这也会导致我感染的源头。 但是我想知道的是,我怎么才能真正追踪到这一点呢? 我想可能是在SSH或什么东西看日志,看看是否会显示我的东西,但我不太确定。 我知道我想find感染点,并删除之前,我必须做一个完整的服务器reclean。 现在 – 我只是宝宝坐着重生的“..”文件。 任何想法如何我可以挖掘出来?
我已经用mod_php PHP5安装了apache 。 我已经能够发现,Apache进程正在改变我的.htaccess和index.php文件在/var/www目录。 此目录中的所有文件都由www-data:www-data拥有ug=rwX,o=rX并拥有ug=rwX,o=rX权限。 很明显,一些恶意软件的PHP脚本正在这样做。 我如何find它? 以下是auditd的输出: time->Thu Jun 26 21:15:12 2014 type=PATH msg=audit(1403802912.787:936): item=0 name="/var/www/example/htdocs/index.php" inode=1182278 dev=ca:01 mode=0100404 ouid=33 ogid=33 rdev=00:00 type=CWD msg=audit(1403802912.787:936): cwd="/var/www/example/htdocs" type=SYSCALL msg=audit(1403802912.787:936): arch=c000003e syscall=90 success=yes exit=0 a0=7fac1ef5a128 a1=104 a2=7 a3=7fac0e1490c0 items=1 ppid=12397 pid=22347 auid=4294967295 uid=33 gid=33 euid=33 suid=33 fsuid=33 egid=33 sgid=33 fsgid=33 tty=(none) ses=4294967295 comm="apache2" exe="/usr/lib/apache2/mpm-prefork/apache2" key=(null)
问题 意外的空电子邮件自2015年1月12日起由未知来源发送。 试图解决这个问题 他们都来自我做networking/系统支持的公司 他们都是从Windows 7机器 所有机器都安装了Outlook 电子邮件总是空的身体 它与用户的交互无关。 当电子邮件到达时,我给他们打了几次电话,他们只是像浏览等常规的东西。有时候,即使没有人使用电脑,我也会收到这些电子邮件。 所有三台PC都在2015年1月12日开始发送这些邮件 时间是不相关的(有时我甚至在晚上收到邮件) 我只在电脑开机时收到电子邮件。 例如,RobertPC总是打开,我只在周末收到电子邮件(其他人被closures) 邮件主题有一些模式: WITT – report Helios pocitac – 来自WittPC WITT Lenka report – 来自Martina PC WITT – Robert report – 来自RobertPC 但请注意“WITT Lenka报告”中缺less的连字符。 还要注意“报告”这个词在“WITT – 报告Helios pocitac”的主题中,而在其他两个主题的结尾。 在这里,我发布了两封邮件的源代码。 请注意,我将[email protected]的电子邮件地址和company_mail@their_domain.com公司电子邮件地址更改了。 公司被称为WITT及其相关的主题名称。 Delivered-To: [email protected] Received: by 10.114.12.67 with SMTP id w3csp5070519ldb; Mon, 2 Mar […]
如何将传入的file upload(或数据stream)扫描到Web服务器和数据库中以查找病毒/恶意软件? 我知道如何(使用优秀的蛤蜊)扫描上传后的东西,但我想扫描之前,我上传到服务器。 我知道在上传之前扫描是可能的,因为我在一些网站上看到它:他们在上传文件之前进行病毒扫描。 这是怎么做的? 我目前(可能是天真的)的思路是实际上传文件到服务器,将它们存储在一个特定的位置,只有一个特定的/特殊的用户访问,然后进行扫描。 最后,将扫描的文件移动到数据库中。 有没有更好的办法?
有没有人有成功实施一个机制,可以扫描上传的文件的恶意软件时使用Azure? 在这种情况下,我将使用他们的网站和存储选项,而不是控制整个操作系统。 在某些情况下,我知道公司内部安装了电器,可以扫描一切。 但是,这些通常需要物理设备,这是云中无法完成的。 有没有人看到在Azure中有效的替代scheme? 我试图避免以下build议:“使用防恶意软件/防病毒端点代理来启动虚拟机,将文件发送到该系统,然后如果该文件仍在那里,请相信它是安全的”
在屏幕模式(#maldet -a / var / www)中运行槌子1.5后,我得到这个回报: maldet(6070): {scan} 618017/618044 files scanned: hits 0 cleaned/usr/bin/wc: /usr/local/maldetect/tmp/.sess.6070: Datei oder Verzeichnis nicht gefunden maldet(6070): {scan} 618018/618044 files scanned: hits 0 cleaned/usr/bin/wc: /usr/local/maldetect/tmp/.sess.6070: Datei oder Verzeichnis nicht gefunden maldet(6070): {scan} 618019/618044 files scanned: hits 0 cleaned/usr/bin/wc: /usr/local/maldetect/tmp/.sess.6070: Datei oder Verzeichnis nicht gefunden maldet(6070): {scan} 618020/618044 files scanned: hits 0 […]
无论什么原因,当我的电脑(Mac OS X 10.11.1)在其他电脑上正常工作时,无法使用curl从网站获取网页。 平也工作,但curl不: $ ping www.latex-tutorial.com PING latex-tutorial.com (162.252.172.25): 56 data bytes 64 bytes from 162.252.172.25: icmp_seq=0 ttl=54 time=76.116 ms 64 bytes from 162.252.172.25: icmp_seq=1 ttl=54 time=74.538 ms 64 bytes from 162.252.172.25: icmp_seq=2 ttl=54 time=90.379 ms ^C — latex-tutorial.com ping statistics — 3 packets transmitted, 3 packets received, 0.0% packet loss round-trip min/avg/max/stddev […]
我可以扫描zip文件phantomjs-2.1.1-windows.zip,它不会删除任何东西。 但是,一旦我解压缩exe文件,Security Essentials删除phantomjs.exe。 该zip具有正确的MD5校验和。 任何解决scheme
我最近开始在一个更大的国际组织的小子公司工作。 我的工作在服务台上,团队中有3名开发人员,我们的老板是经理和代理系统pipe理员。 员工stream动率很高,在过去的18个月里,有3个系统pipe理员来来去去,所以系统还不是最好的。 我们有64个用户拥有8-12个映射的驱动器 – 它们在启动时使用由活动目录设置的batch file进行安装; 取决于他们所在组织的哪个部分。昨天我接到一位用户打来的电话,说他不能打开她前一天晚上工作过的文件。 当我去调查时,我看到该文件显示.crypt扩展名。 然后我意识到,这个networking共享上的每个单词文档也被encryption了,但是.jpg文件没有问题。 (经过进一步的调查,我发现.doc,.xls,.pdf,.zip和.txt文件被encryption)我做了一个员工使用的所有其他networking共享的快速检查,但没有发现任何其他地方的勒索软件的痕迹。 受影响的networking共享在每个子文件夹中都有一个文本文件,说明如何支付赎金。 受影响的networking共享驻留在与Active Directory链接的networkingNAS盒子上。 我从对其他公司的了解中了解到,这个病毒需要在PC上模仿,无论是通过电子邮件链接还是从网上下载的东西,所有本地和networking驱动器,包括任何可能的USB驱动器都应该encryption。 但是,我们在任何一台PC上都找不到这种病毒的痕迹,而且我们也感到奇怪的是,没有其他的networking共享受到感染。 我们已经去所有的电脑和检查本地目录的.txt文件等等,一旦我们看到他们打开,我们认为这台机器是干净的,而不是启动病毒的。 我们也search.crypt文件。 – 还有什么我们可以做,find造成这个电脑? – 我们错误地认为用户是通过打开附件或点击networking中的链接而造成这种情况的? – 我们错误地认为任何PC上都会有一丝痕迹吗? – 其他驱动器没有受到影响? 正如我所提到的,用户总是在任何给定的时间映射多个驱动器。 – 还有什么我们应该注意的? 如何试图找出造成这种情况的机器/员工? 道歉的龙岗,我尽量给尽可能多的细节。 我会很感激任何意见。 谢谢。
我正在与团体政策(自我教导自己)一起玩耍,并且偶然发现了applocker,我可以肯定地看到某些情况下的好处,但是在我为用户工作过的每个公司中都不会使用特定的程序集,某些项目或某些版本的软件所需的软件属性,这些软件在我的研究中会使Applocker感到痛苦 我的问题是,尝试和configurationapplocker来防止勒索软件是矫枉过正的? 我知道,randsomware感染networking的最简单的方法是通过用户打开电子邮件中的文件,实际上.exe是变相的,所以有一种方法可以阻止.exes从电子邮件只运行或至less需要pipe理员凭据这样做? 我知道没有networking是100%安全的反对randsomware等,但如果我可以防止最常用的漏洞,那么可以帮助