不幸的是,我今天发现我的网站上有一个恶意脚本。它是 chmodded 644,但我无法删除它。它上面的目录将允许我正常删除它。界面是cPanel。
我从后面的源代码底部找到了创建者的名字。
这个脚本非常讨厌,并且在我网站的每个目录中。幸运的是,我有一个干净的备份,我计划尽快恢复它。
从源头上,我得出它用于“破解” ftp 密码、mysql 数据库、一般的安全性,而且(不幸的是)它还可以做更多的事情,包括直接访问我帐户中的每个文件. 它针对某些脚本,即 phpbb、smf 和 vbulliten,但我的网站上没有运行这些脚本。
是否有脚本可以在不触发的情况下强制删除此病毒/蠕虫/不管它是什么鬼?
它出现在所有目录中 chmod 至少为 755 的事实,以及一些它以某种方式为 644 的目录。
我该怎么办?还没有人运行它,它只是原地不动。没有任何访问日志记录任何人对其进行任何操作(尚未)
对我来说最好的道路是什么?我一直听说它在整个服务器上,而不仅仅是我的帐户。
另外,很抱歉,如果这个网站不是问它的正确地方,我认为这是最好的,因为它直接相关。有什么方法可以将文件名列入黑名单吗?
我不能强调这一点;你需要重建服务器。您不能确定没有安装任何后门或木马二进制文件。您无法删除脚本的事实表明服务器出现了问题。唯一确定的方法是重新安装。考虑到您有备份,这应该不会花费太长时间。
如果您不控制服务器,请坚持让控制它的人重新安装系统。如果他们不这样做,我建议您转向其他托管服务提供商,因为他们不重视安全性。
您所描述的是“不可变”位,其功能类似于“主只读”。一旦设置,文件就不能被删除,但您可以随时取消设置位并删除文件。当然,您将希望备份您可以备份的内容,清理您的设置,然后从头开始重建。从轨道上使用核武器总是最好的。
rootkit 和其他恶意软件使用的一个常见问题是使用扩展属性(尤其是不可变属性)来使其更难清理。没有经验的管理员可能不知道或不考虑检查扩展属性。有关信息,请使用 man lsattr 或 chattr。
当然,正如其他答案所指出的那样,您确实需要重建系统。
有很多 php 漏洞可用于插入诸如此类的文件。根据您的描述,您似乎处于共享托管环境中?如果是这样,很可能您服务器上的其他人也遭受同样的命运。我不同意你应该重建整个服务器。通常这些文件被插入并且所有者是nobody或随机UUID,因此可以解释为什么您不能删除这些文件。
特别是在 cPanel 环境中,有一些设置可以控制 open_basedir,这些设置可能会在不经意间让此类事情发生。这通常只影响 /home 或更高版本中的目录。
如果您控制服务器,请确保文件归您的用户所有,
ls -l <filename>如果它们不属于您的用户,您需要联系管理员让他 chown 文件和/或删除它们。