我今天有一个奇怪的问题。今天早上我正在编写和测试一些简单的 cgi 脚本时,我意识到我无法从(windows)网络上的其他一台计算机上运行它们。所以我让我的网络管理员进来看看发生了什么。几分钟后,一位同事进来告诉我,他正在处理的一堆文件以及网络驱动器上的一堆其他文件(所有 *.c 文件)都被删除了。他还注意到一些奇怪的 apache_dump_500.log.txt 文件位于文件被删除的相同目录中。
apache_dump_500.log.txt 文件都如下所示:
REDIRECT_HTTP_ACCEPT=*/*, image/gif, image/x-xbitmap, image/jpeg
REDIRECT_HTTP_USER_AGENT=Mozilla/1.1b2 (X11; I; HP-UX A.09.05 9000/712)
REDIRECT_PATH=.:/bin:/usr/local/bin:/etc
REDIRECT_QUERY_STRING=
REDIRECT_REMOTE_ADDR=<my computer's local ip>
REDIRECT_REMOTE_HOST=
REDIRECT_SERVER_NAME=<my computer's domain url>
REDIRECT_SERVER_PORT=
REDIRECT_SERVER_SOFTWARE=
REDIRECT_URL=/cgi-bin/trojan.py
我看了看,我的 cgi-bin 文件夹中没有任何 trojan.py。而且我所有的 apache 日志都是干净的。Windows 事件记录器似乎也没有发生任何事情的痕迹。
我的 httpd.conf: http: //pastebin.com/Yny2Yh8v
我认为我们有某种病毒将这个 trojan.py 文件添加到我的 cgi-bin 中,运行脚本,并删除了脚本和日志中的任何痕迹。这是发生的事情吗?
任何想法都将不胜感激!
