紧急求助,服务器经常被黑客上传文件!!!
各位论坛的朋友:大家好,我有问题求助于大家,在此先谢谢你们了!!
我们公司web服务器最近几天都遭黑客上传大量投注、游戏页面(每天都上传好几万个html文件),每天都上传两三次,防不胜防!不知道是通过什么途径上传来的,我检查了日志(last、lastlog、w)等,都没有发现异常。今天问南飞蚂蚁,他说应该是通过程序漏洞上传的,并且让我改了apache的user为nobody。修改后,今天下午发现上传的文件属主为nobody,原来apache的user为liling,他上传的文件属主为liling。这样是不是可以判断他是通过程序漏洞,用工具扫描,自动上传的????
另外,可能网页被他植入了木马,或者修改了某些文件我们发现不了。(因为他上传的有些文件日期是好几个月以前的,是不是他修改了文件日期??)而且网站文件太多,要一个个查找几乎不可能,有什么好的办法呢??同时,服务器应该做什么安全措施,比如php配置或者apache配置做添加一些安全配置??
这个黑客骚扰我们好几天了,让人头疼。麻烦大家给点意见!!!谢谢你们了!! 用的rootkit吧,重装?我也小白 检查web服务器的日志,只要上传文件,日志里面就会记录,在日志里面过滤post关键字,看看是通过什么程序上传的 不是 rootkit .
典型的php的问题. 查代码吧.
不过, 建议先下线这台机器, 重装一台放上来, 把 apache php的 bug 先fix一下. 然后再细查代码. 如果没有必要上传, 禁止上传文件. 谢谢!!!!这两天正在检查程序,发现程序有不少问题!!!黑客应该是用工具扫描注入的!! 回复 3# chenyx
感谢回复!!请问有什么好的在线扫描日志的工具吗?日志文件太大了,要下载下来太慢
楼主搜索 sql 注入工具 吧,网上有很多的.
一天上万个页面,我怀疑不是黑客上传的,很可能是上传了程序,程序生成的.
日志直接在linux上处理吧,你复制日志文件到用户目录下,用grep进行过滤,慢慢查,很累人的. 谢谢哥们,祝你新年快乐!!!!
回复 7# chenyx
我以前维护的web服务器也出现过这样的问题,有可能通过后门程序上传的吧,以上次的文件为线索,查找上传工具,然后再从日志中分析非法操作和其IP,限制非法IP的访问,从非法操作中查找系统漏洞,最后修补漏洞,问题的关键是找到线索。如果是后门程序,可以检查非法页面,分析相关页面源代码来查找。另外,最好有日志分割的脚步,这样分析当天的日志会好简单多了,我认为不需要把日子下载下来,在服务器上用命令分析更快速。 谢谢你的回复!!!这两天一个个文件检查,找到不少木马文件,同时把很多没有必要的或者有安全问题的程序删除了,今天暂时没有发现新上传的文件!看这两天的情况了,但愿能彻底组织。祝你新年快乐!!回复 9# zhuw1989
页:
[1]
2