緊急求助,伺服器經常被黑客上傳文件!!!
各位論壇的朋友:
大家好,我有問題求助於大家,在此先謝謝你們了!!
我們公司web伺服器最近幾天都遭黑客上傳大量投注、遊戲頁面(每天都上傳好幾萬個html文件),每天都上傳兩三次,防不勝防!不知道是通過什麼途徑上傳來的,我檢查了日誌(last、lastlog、w)等,都沒有發現異常。今天問南飛螞蟻,他說應該是通過程序漏洞上傳的,並且讓我改了apache的user為nobody。修改後,今天下午發現上傳的文件屬主為nobody,原來apache的user為liling,他上傳的文件屬主為liling。這樣是不是可以判斷他是通過程序漏洞,用工具掃描,自動上傳的????
另外,可能網頁被他植入了木馬,或者修改了某些文件我們發現不了。(因為他上傳的有些文件日期是好幾個月以前的,是不是他修改了文件日期??)而且網站文件太多,要一個個查找幾乎不可能,有什麼好的辦法呢??同時,伺服器應該做什麼安全措施,比如php配置或者apache配置做添加一些安全配置??
這個黑客騷擾我們好幾天了,讓人頭疼。麻煩大家給點意見!!!謝謝你們了!!
《解決方案》
用的rootkit吧,重裝?我也小白
《解決方案》
檢查web伺服器的日誌,只要上傳文件,日誌裡面就會記錄,在日誌裡面過濾post關鍵字,看看是通過什麼程序上傳的
《解決方案》
不是 rootkit .
典型的php的問題. 查代碼吧.
不過, 建議先下線這台機器, 重裝一台放上來, 把 apache php的 bug 先fix一下. 然後再細查代碼. 如果沒有必要上傳, 禁止上傳文件.
《解決方案》
謝謝!!!!這兩天正在檢查程序,發現程序有不少問題!!!黑客應該是用工具掃描注入的!!
《解決方案》
回復 3# chenyx
感謝回復!!請問有什麼好的在線掃描日誌的工具嗎?日誌文件太大了,要下載下來太慢
《解決方案》
樓主搜索 sql 注入工具 吧,網上有很多的.
一天上萬個頁面,我懷疑不是黑客上傳的,很可能是上傳了程序,程序生成的.
日誌直接在linux上處理吧,你複製日誌文件到用戶目錄下,用grep進行過濾,慢慢查,很累人的.
《解決方案》
謝謝哥們,祝你新年快樂!!!!
回復 7# chenyx
《解決方案》
我以前維護的web伺服器也出現過這樣的問題,有可能通過後門程序上傳的吧,以上次的文件為線索,查找上傳工具,然後再從日誌中分析非法操作和其IP,限制非法IP的訪問,從非法操作中查找系統漏洞,最後修補漏洞,問題的關鍵是找到線索。如果是後門程序,可以檢查非法頁面,分析相關頁面源代碼來查找。另外,最好有日誌分割的腳步,這樣分析當天的日誌會好簡單多了,我認為不需要把日子下載下來,在伺服器上用命令分析更快速。
《解決方案》
謝謝你的回復!!!這兩天一個個文件檢查,找到不少木馬文件,同時把很多沒有必要的或者有安全問題的程序刪除了,今天暫時沒有發現新上傳的文件!看這兩天的情況了,但願能徹底組織。祝你新年快樂!!回復 9# zhuw1989
