紧急求助，服务器经常被黑客上传文件！！！

likeislike

各位论坛的朋友：
大家好，我有问题求助于大家，在此先谢谢你们了！！

我们公司web服务器最近几天都遭黑客上传大量投注、游戏页面（每天都上传好几万个html文件），每天都上传两三次，防不胜防！不知道是通过什么途径上传来的，我检查了日志（last、lastlog、w）等，都没有发现异常。今天问南飞蚂蚁，他说应该是通过程序漏洞上传的，并且让我改了apache的user为nobody。修改后，今天下午发现上传的文件属主为nobody，原来apache的user为liling，他上传的文件属主为liling。这样是不是可以判断他是通过程序漏洞，用工具扫描，自动上传的？？？？

另外，可能网页被他植入了木马，或者修改了某些文件我们发现不了。（因为他上传的有些文件日期是好几个月以前的，是不是他修改了文件日期？？）而且网站文件太多，要一个个查找几乎不可能，有什么好的办法呢？？同时，服务器应该做什么安全措施，比如php配置或者apache配置做添加一些安全配置？？

这个黑客骚扰我们好几天了，让人头疼。麻烦大家给点意见！！！谢谢你们了！！

EeeLo

用的rootkit吧，重装？我也小白

chenyx

检查web服务器的日志,只要上传文件,日志里面就会记录,在日志里面过滤post关键字,看看是通过什么程序上传的

q1208c

不是 rootkit .

典型的php的问题. 查代码吧.

不过, 建议先下线这台机器, 重装一台放上来, 把 apache php的 bug 先fix一下. 然后再细查代码. 如果没有必要上传, 禁止上传文件.

likeislike

谢谢！！！！这两天正在检查程序，发现程序有不少问题！！！黑客应该是用工具扫描注入的！！

likeislike

回复 3# chenyx


感谢回复！！请问有什么好的在线扫描日志的工具吗？日志文件太大了，要下载下来太慢


   

chenyx

楼主搜索 sql 注入工具 吧,网上有很多的.
一天上万个页面,我怀疑不是黑客上传的,很可能是上传了程序,程序生成的.
日志直接在linux上处理吧,你复制日志文件到用户目录下,用grep进行过滤,慢慢查,很累人的.

likeislike

谢谢哥们，祝你新年快乐！！！！
回复 7# chenyx


   

zhuw1989

我以前维护的web服务器也出现过这样的问题，有可能通过后门程序上传的吧，以上次的文件为线索，查找上传工具，然后再从日志中分析非法操作和其IP，限制非法IP的访问，从非法操作中查找系统漏洞，最后修补漏洞，问题的关键是找到线索。如果是后门程序，可以检查非法页面，分析相关页面源代码来查找。另外，最好有日志分割的脚步，这样分析当天的日志会好简单多了，我认为不需要把日子下载下来，在服务器上用命令分析更快速。

likeislike

谢谢你的回复！！！这两天一个个文件检查，找到不少木马文件，同时把很多没有必要的或者有安全问题的程序删除了，今天暂时没有发现新上传的文件！看这两天的情况了，但愿能彻底组织。祝你新年快乐！！回复 9# zhuw1989