我们的服务器遭到入侵,我们想知道哪些帐户从我们的服务器发送了恶意查询。我用 tcpdump 来得到这个:
our.host.net.48194 > box5596.bluehost.com.http: Flags [P.], cksum 0x0bf8 (incorrect -> 0x5061), seq 0:741, ack 1, win 229, options [nop,nop,TS val 260555861 ecr 3817788688], length 741: HTTP, length: 741
POST /xmlrpc.php HTTP/1.1
Host: www.devynamaya.com
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0
Content-Length: 484
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip
Connection: close
<?xml version="1.0"?><methodCall><methodName>system.multicall</methodName><params><param><value><array><data><value><struct><member><name>methodName</name><value><string>wp.getUsersBlogs</string></value></member><member><name>params</name><value><array><data><value><array><data><value><string>admin</string></value><value><string>password123</string></value></data></array></value></data></array></value></member></struct></value></data></array></value></param></params></methodCall>[!http]
另一方面,我安装了不同的其他工具,例如,,clamav...等。对于 tcpdump 数据包,我使用.chrootkitrkhunterwireshark
问题是我似乎找不到发送该数据包的用户,因此我可以暂停他们的 cpanel 帐户。
是否有任何工具可以帮助跟踪被入侵的帐户?我们在这台服务器上有数百名用户,这就像大海捞针。
如果我不知道哪个客户端的网站受到攻击,那么分析数据包将毫无用处。
谢谢 !
大多数受感染的帐户/服务器内部往往包含恶意软件,这些恶意软件会发送我们的恶意查询、由于受感染的文件而发送的垃圾邮件等。此时分析数据包会有点困难且毫无用处。
您可以做的是使用Maldet扫描用户文档根目录
我以前用过maldet,它是一个很棒的工具,它有自己的签名数据库,当clamav 安装并可用时,它使用clamav 作为引擎。