我的提供商通知我的Web服务器上有出站攻击。 在进一步的检查中,我在我的Apache error.log文件中看到了这个:
--2012-02-04 04:40:59-- http://www.luxelivingforum.com/wp-content/themes/lifestyle/run Resolving www.luxelivingforum.com... 184.168.113.199 Connecting to www.luxelivingforum.com|184.168.113.199|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 68338 (67K) [text/plain] Saving to: `./run' 0K .......... .......... .......... .......... .......... 74% 61.8K 0s 50K .......... ...... 100% 11.1M=0.8s 2012-02-04 04:41:01 (82.4 KB/s) - `./run' saved [68338/68338] Unquoted string "crazy" may clash with future reserved word at ./bot.pl line 174. Unquoted string "crazy" may clash with future reserved word at ./bot.pl line 211. Unquoted string "crazy" may clash with future reserved word at ./bot.pl line 244. Unquoted string "crazy" may clash with future reserved word at ./bot.pl line 251. 上面的事情是什么意思?
您的服务器必须已经被入侵,并且正在被远程命令发起攻击。 你应该恢复你最后的不妥协的备份,并立即补丁你的wordpress安装。 您必须每天监控wordpress(和wordpress插件)的安全build议。
这看起来不像应该在Apache错误日志中的那种东西。 您(或您的托pipe服务提供商)是否通过系统日志发送日志?
无论如何,你在这里有一个明确的妥协的迹象。 有问题的文件是某种机器人(我自己还没有时间分析),现在可能正在系统上运行,攻击其他人的系统。
两件事你应该马上做,甚至在“擦除所有东西,从备份中重新安装”的标准build议之前,就是使用ps -ef | grep bot.plfind机器人的pid。 ps -ef | grep bot.pl ,然后使用kill -9 <the pid you found>来杀死它。 您可能还想删除将被称为“bot.pl”的bot代码。 你可以用locate bot.plfind它。
机器人看起来并不聪明或复杂,似乎也没有做任何事情来隐藏自己的踪迹。 杀死它并删除bot代码后,你可能是干净的。 但是,只有在进行擦除和重新安装程序之前,您才能确定自己是否受到了损害。
你应该做的最后一件事是试图弄清楚他们是怎么进来的,所以你可以closures这个洞。 如果您进行擦除并安装,请务必保留所有日志的副本以供日后分析。 同一时间段的Apache访问日志应该给你提示他们做了什么。