免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 IT运维 服务器应用 服务器被人攻击了,应该怎样查找?
最近访问板块 发新帖
查看: 3362 | 回复: 6
打印 上一主题 下一主题

[Web] 服务器被人攻击了,应该怎样查找? [复制链接]

yilanbin

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2010-03-29 14:30 |只看该作者 |倒序浏览
我的系统环境:rh as 4 apache1.34 php4 mysql4
最近我的系统被人上传了一些文件,这些文件上传到了我的网站目录中,因为程序需要,这些目录是777的权限,我删掉了,现在没有上传了,但是,现在不定时的还会有一些程序会运行,用ps看时,会看到有叫做perl spm.txt和usr/bin/httpds的进程在运行,有这些进程在运行的同时,我的邮件队列就会爆满,我的邮件用的是qmail.这些进程是以apache运行的帐号运行的,我想问一下,我应该怎样找到这些进程所打开的文件有哪些?这些文件是以什么方式上传上来的?perl spm.txt进程运行的是一个perl脚本吗?有什么方法可以找到这个脚本?我在网站目录中搜索不到spm.txt和httpds文件。

perl      16823   nobody  cwd       DIR        8,6       4096          2 /
perl      16823   nobody  rtd       DIR        8,6       4096          2 /
perl      16823   nobody  txt       REG        8,2      15124   17727495 /usr/bin/perl
perl      16823   nobody  mem       REG        8,2      16816    1278877 /usr/lib/perl5/5.8.5/i386-linux-thread-multi/auto/IO/IO.so
perl      16823   nobody  mem       REG        8,2      18348    1278869 /usr/lib/perl5/5.8.5/i386-linux-thread-multi/auto/File/Glob/Glob.so
perl      16823   nobody  mem       REG        8,6      79488   19350582 /lib/libresolv-2.3.4.so
perl      16823   nobody  mem       REG        8,6      21280   19349551 /lib/libnss_dns-2.3.4.so
perl      16823   nobody  mem       REG        8,2      21164    1279052 /usr/lib/perl5/5.8.5/i386-linux-thread-multi/auto/Socket/Socket.so
perl      16823   nobody  mem       REG        8,6      45889   19349554 /lib/libnss_files-2.3.4.so
perl      16823   nobody  mem       REG        8,6     106397   19350576 /lib/ld-2.3.4.so
perl      16823   nobody  mem       REG        8,6    1454546   19350577 /lib/tls/libc-2.3.4.so
perl      16823   nobody  mem       REG        8,6      15324   19350579 /lib/libdl-2.3.4.so
perl      16823   nobody  mem       REG        8,6     178019   19350578 /lib/tls/libm-2.3.4.so
perl      16823   nobody  mem       REG        8,6      93985   19350580 /lib/tls/libpthread-2.3.4.so
perl      16823   nobody  mem       REG        8,2    1261660    1279364 /usr/lib/perl5/5.8.5/i386-linux-thread-multi/CORE/libperl.so
perl      16823   nobody  mem       REG        8,6      27191   19350594 /lib/libcrypt-2.3.4.so
perl      16823   nobody  mem       REG        8,6      95148   19350588 /lib/libnsl-2.3.4.so
perl      16823   nobody  mem       REG        8,6      14542   19350583 /lib/libutil-2.3.4.so
perl      16823   nobody  mem       REG        8,2   48512768    1247383 /usr/lib/locale/locale-archive
perl      16823   nobody    0r      CHR        1,3                  1726 /dev/null
perl      16823   nobody    1w     FIFO        0,7                293616 pipe
perl      16823   nobody    2w      REG        8,2    2543747   15909205 /usr/local/apache/logs/error_log
perl      16823   nobody    3u     IPv4     293853                   TCP ptr62.53.dnion.com:53714->200-207-13-76.speedyterra.com.br:8067 (ESTABLISHED)
perl      16823   nobody   15w      REG        8,2    2543747   15909205 /usr/local/apache/logs/error_log
perl      16823   nobody   16w      REG        8,2     237816   15909680 /usr/local/apache/logs/bluedoorinteractive-error_log
perl      16823   nobody   17w      REG        8,2       6373   15909681 /usr/local/apache/logs/gt-r-error_log
perl      16823   nobody   18w      REG        8,2     354031   15909682 /usr/local/apache/logs/joyeartt-error_log
perl      16823   nobody   19w      REG        8,2   29869654   15909683 /usr/local/apache/logs/fxauto-error_log
perl      16823   nobody   20w      REG        8,2          0   15909684 /usr/local/apache/logs/infiniti-sxzx-error_log
perl      16823   nobody   21w      REG        8,2          0   15909685 /usr/local/apache/logs/wap-extra-caring-error_log
perl      16823   nobody   22w      REG        8,2          0   15909686 /usr/local/apache/logs/extra-caring-error_log
perl      16823   nobody   23w      REG        8,2     160660   15909689 /usr/local/apache/logs/infiniti-ynzq-error_log
perl      16823   nobody   24w      REG        8,2          0   15910233 /usr/local/apache/logs/actihealth-error_log
perl      16823   nobody   25w      REG        8,2     753092   15910239 /usr/local/apache/logs/nissan-watsonswater-error_log
perl      16823   nobody   26w      REG        8,2          0   15910240 /usr/local/apache/logs/nissan-xtrail-error_log
perl      16823   nobody   27w      REG        8,2          0   15910468 /usr/local/apache/logs/nissan-quest-error_log
perl      16823   nobody   28w      REG        8,2          0   15910973 /usr/local/apache/logs/nissan-fuga-error_log
perl      16823   nobody   29w      REG        8,2     790967   15917296 /usr/local/apache/logs/nissan-350z-error_log
perl      16823   nobody   30w      REG        8,2          0   15917297 /usr/local/apache/logs/brandtest-error_log
perl      16823   nobody   31w      REG        8,2 1463144617   15917298 /usr/local/apache/logs/nissan-error_log
perl      16823   nobody   32w      REG        8,2          0   15917299 /usr/local/apache/logs/starriver-error_log
perl      16823   nobody   33w      REG        8,2     715919   15917300 /usr/local/apache/logs/nissanpivo-error_log
perl      16823   nobody   34w      REG        8,2          0   15917301 /usr/local/apache/logs/nissanfamily-error_log
perl      16823   nobody   35w      REG        8,2    6143822   15917302 /usr/local/apache/logs/unknow-error_log
perl      16823   nobody   88u     IPv4     293485                   TCP ptr62.53.dnion.com:53690->200-207-13-76.speedyterra.com.br:8067 (CLOSE_WAIT)
perl      17003     root  cwd       DIR        8,6       4096          2 /
perl      17003     root  rtd       DIR        8,6       4096          2 /
perl      17003     root  txt       REG        8,2      15124   17727495 /usr/bin/perl
perl      17003     root  mem       REG        8,6      79488   19350582 /lib/libresolv-2.3.4.so
perl      17003     root  mem       REG        8,6      21280   19349551 /lib/libnss_dns-2.3.4.so
perl      17003     root  mem       REG        8,6      45889   19349554 /lib/libnss_files-2.3.4.so
perl      17003     root  mem       REG        8,2      16816    1278877 /usr/lib/perl5/5.8.5/i386-linux-thread-multi/auto/IO/IO.so
perl      17003     root  mem       REG        8,6     106397   19350576 /lib/ld-2.3.4.so
perl      17003     root  mem       REG        8,6    1454546   19350577 /lib/tls/libc-2.3.4.so
perl      17003     root  mem       REG        8,6      15324   19350579 /lib/libdl-2.3.4.so
perl      17003     root  mem       REG        8,6     178019   19350578 /lib/tls/libm-2.3.4.so
perl      17003     root  mem       REG        8,6      93985   19350580 /lib/tls/libpthread-2.3.4.so
perl      17003     root  mem       REG        8,2    1261660    1279364 /usr/lib/perl5/5.8.5/i386-linux-thread-multi/CORE/libperl.so
perl      17003     root  mem       REG        8,6      27191   19350594 /lib/libcrypt-2.3.4.so
perl      17003     root  mem       REG        8,2      21164    1279052 /usr/lib/perl5/5.8.5/i386-linux-thread-multi/auto/Socket/Socket.so
perl      17003     root  mem       REG        8,6      95148   19350588 /lib/libnsl-2.3.4.so
perl      17003     root  mem       REG        8,6      14542   19350583 /lib/libutil-2.3.4.so
perl      17003     root  mem       REG        8,2   48512768    1247383 /usr/lib/locale/locale-archive
perl      17003     root    0u     sock        0,4                295530 can't identify protocol
perl      17003     root    1u     sock        0,4                295530 can't identify protocol
perl      17003     root    2u     sock        0,4                295530 can't identify protocol
perl      17003     root    3u      REG        8,6       4096   23753441 /tmp/tmp.X5XjyP (deleted)
perl      17003     root    4u     sock        0,4                295859 can't identify protocol
perl      17003     root    5u     IPv4     296084                   TCP ptr62.53.dnion.com:53801->200-207-13-76.speedyterra.com.br:ircd (ESTABLISHED)
perl      17003     root   15w      REG        8,2    2543747   15909205 /usr/local/apache/logs/error_log
perl      17003     root   16w      REG        8,2     237816   15909680 /usr/local/apache/logs/bluedoorinteractive-error_log
perl      17003     root   17w      REG        8,2       6373   15909681 /usr/local/apache/logs/gt-r-error_log
perl      17003     root   18w      REG        8,2     354031   15909682 /usr/local/apache/logs/joyeartt-error_log
perl      17003     root   19w      REG        8,2   29869654   15909683 /usr/local/apache/logs/fxauto-error_log
perl      17003     root   20w      REG        8,2          0   15909684 /usr/local/apache/logs/infiniti-sxzx-error_log
perl      17003     root   21w      REG        8,2          0   15909685 /usr/local/apache/logs/wap-extra-caring-error_log
perl      17003     root   22w      REG        8,2          0   15909686 /usr/local/apache/logs/extra-caring-error_log
perl      17003     root   23w      REG        8,2     160660   15909689 /usr/local/apache/logs/infiniti-ynzq-error_log
perl      17003     root   24w      REG        8,2          0   15910233 /usr/local/apache/logs/actihealth-error_log
perl      17003     root   25w      REG        8,2     753092   15910239 /usr/local/apache/logs/nissan-watsonswater-error_log
perl      17003     root   26w      REG        8,2          0   15910240 /usr/local/apache/logs/nissan-xtrail-error_log
perl      17003     root   27w      REG        8,2          0   15910468 /usr/local/apache/logs/nissan-quest-error_log
perl      17003     root   28w      REG        8,2          0   15910973 /usr/local/apache/logs/nissan-fuga-error_log
perl      17003     root   29w      REG        8,2     790967   15917296 /usr/local/apache/logs/nissan-350z-error_log
perl      17003     root   30w      REG        8,2          0   15917297 /usr/local/apache/logs/brandtest-error_log
perl      17003     root   31w      REG        8,2 1463144617   15917298 /usr/local/apache/logs/nissan-error_log
perl      17003     root   32w      REG        8,2          0   15917299 /usr/local/apache/logs/starriver-error_log
perl      17003     root   33w      REG        8,2     715919   15917300 /usr/local/apache/logs/nissanpivo-error_log
perl      17003     root   34w      REG        8,2          0   15917301 /usr/local/apache/logs/nissanfamily-error_log
perl      17003     root   35w      REG        8,2    6143822   15917302 /usr/local/apache/logs/unknow-error_log
perl      17003     root   88u     IPv4     293485                   TCP ptr62.53.dnion.com:53690->200-207-13-76.speedyterra.com.br:8067 (CLOSE_WAIT),这些是我用lsof 进程号看到的
826buy

论坛徽章:
0
2 [报告]
发表于 2010-04-01 13:01 |只看该作者
好深奥哦
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
vitas333_cu

论坛徽章:
0
3 [报告]
发表于 2010-04-02 17:56 |只看该作者
关闭上传, 其次检查后门, 账户,  估计是被提权了。。  最近 不是 有啥 提权的漏洞么。。

最好做个入侵检测的  要是没有 。 就检查下 命令环境, 可以 修改 root 环境,限制最小命令, 自己另外建立个超级用户。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
notion001

论坛徽章:
0
4 [报告]
发表于 2010-04-08 18:16 |只看该作者
先做个入侵检测
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
ee112288

论坛徽章:
0
5 [报告]
发表于 2010-04-10 10:06 |只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
zone8314

论坛徽章:
0
6 [报告]
发表于 2010-04-10 12:06 |只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
翱翔鸟

论坛徽章:
0
7 [报告]
发表于 2010-04-10 16:20 |只看该作者
好深
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP