我今天有一个奇怪的问题。今天早上我正在编写和测试一些简单的 cgi 脚本时,我意识到我无法从(windows)网络上的其他一台计算机上运行它们。所以我让我的网络管理员进来看看发生了什么。几分钟后,一位同事进来告诉我,他正在处理的一堆文件以及网络驱动器上的一堆其他文件(所有 *.c 文件)都被删除了。他还注意到一些奇怪的 apache_dump_500.log.txt 文件位于文件被删除的相同目录中。
apache_dump_500.log.txt 文件都如下所示:
REDIRECT_HTTP_ACCEPT=*/*, image/gif, image/x-xbitmap, image/jpeg
REDIRECT_HTTP_USER_AGENT=Mozilla/1.1b2 (X11; I; HP-UX A.09.05 9000/712)
REDIRECT_PATH=.:/bin:/usr/local/bin:/etc
REDIRECT_QUERY_STRING=
REDIRECT_REMOTE_ADDR=<my computer's local ip>
REDIRECT_REMOTE_HOST=
REDIRECT_SERVER_NAME=<my computer's domain url>
REDIRECT_SERVER_PORT=
REDIRECT_SERVER_SOFTWARE=
REDIRECT_URL=/cgi-bin/trojan.py
我看了看,我的 cgi-bin 文件夹中没有任何 trojan.py。而且我所有的 apache 日志都是干净的。Windows 事件记录器似乎也没有发生任何事情的痕迹。
我的 httpd.conf: http: //pastebin.com/Yny2Yh8v
我认为我们有某种病毒将这个 trojan.py 文件添加到我的 cgi-bin 中,运行脚本,并删除了脚本和日志中的任何痕迹。这是发生的事情吗?
任何想法都将不胜感激!
可能吗?当然。如果文件夹中的权限允许具有执行进程权限的用户删除文件,则可以轻松运行脚本来删除/更改文件,然后自行删除。
不过,我觉得这很奇怪,因为今天的蠕虫和病毒主要针对次要目的,例如窃取信息和监视用户以窃取信息(密码、文档等),因此与过去的病毒不同,它们在破坏性方面突出聪明和创造力有效载荷,今天大多数恶意软件都不想引起人们的注意。也就是说,来自通用黑客的脚本将自己命名为像“特洛伊木马”这样明显的东西并继续尝试破坏网站以使其无法运行,除非它是内部人员或有议程的人,这是非常奇怪的。那将是我的怀疑。
也就是说,您是否在日志中看到更多重定向?
您的所有开发人员机器和服务器是否都更新了防病毒和恶意软件扫描程序?间谍机器人?广告意识?
如果服务器被认为已被黑客入侵,您就不能再信任它了,因为它可能有后门软件和/或日志软件。一旦运行某些东西以删除文件并且没有其他任何事情发生的痕迹,如果我发号施令,我想我想从已知的良好备份中擦除并重新安装。安装隐藏后门的可能性太大了。您的开发工作站可能也安装了一些东西,我会使用最新的恶意软件检测软件和防病毒软件扫描所有这些东西。
您可以尝试在硬盘上运行取消删除程序或驱动器的块级克隆(脱机,作为辅助卷连接到另一台计算机,因此它不执行操作系统和代码)以查看是否有该目录中与该重定向匹配的程序,然后您可以尝试分析数据。但这完全取决于您的内部专业知识、时间和需要知道的(以及如果您的服务器具有 RAID 卷,它的工作容易程度,因为如果您需要恢复服务器,这样做可能不可行。)如果这是一个生产服务器,我想你不会花太多时间来检查这个。如果它是一个开发服务器,您也许可以腾出一两天时间以一种或多或少“干净”的方式来处理它,以满足您的好奇心或调查需求。将其暴露在网络上时要非常小心(保持离线!),最好不要从该驱动器启动操作系统,因为它可以运行会感染其他东西的后台木马。我' d 将其作为辅助数据驱动器或从可引导的 Linux CD 运行以分析驱动器。如果这是您想要的方向,有许多法医引导发行版可用于克隆或分析驱动器的工具。