У меня сегодня странная проблема. Сегодня утром я писал и тестировал несколько простых сценариев cgi, когда понял, что не могу запустить их с одного из других компьютеров в сети (Windows). Поэтому я попросил администратора сети посмотреть, что происходит. Через несколько минут вошел сотрудник и сказал мне, что куча файлов, с которыми он работал, а также куча других (все файлы * .c) на сетевом диске были удалены. Он также заметил несколько странных файлов apache_dump_500.log.txt в тех же каталогах, где эти файлы были удалены.
Все файлы apache_dump_500.log.txt выглядят так:
REDIRECT_HTTP_ACCEPT=*/*, image/gif, image/x-xbitmap, image/jpeg
REDIRECT_HTTP_USER_AGENT=Mozilla/1.1b2 (X11; I; HP-UX A.09.05 9000/712)
REDIRECT_PATH=.:/bin:/usr/local/bin:/etc
REDIRECT_QUERY_STRING=
REDIRECT_REMOTE_ADDR=<my computer's local ip>
REDIRECT_REMOTE_HOST=
REDIRECT_SERVER_NAME=<my computer's domain url>
REDIRECT_SERVER_PORT=
REDIRECT_SERVER_SOFTWARE=
REDIRECT_URL=/cgi-bin/trojan.py
Я посмотрел, и у меня в папке cgi-bin нет trojan.py. И все мои логи apache чистые. Регистратор событий Windows, похоже, тоже не имеет следов того, что произошло.
Мой httpd.conf: http://pastebin.com/Yny2Yh8v
Я думаю, что у нас есть какой-то вирус, который добавил этот файл trojan.py в мой cgi-bin, запустил сценарий и удалил сценарий и любые следы из журналов. Такое случается?
Любые идеи будут очень признательны!
Является ли это возможным? Конечно. Если разрешения в папках позволяют пользователю с правами выполняемого процесса удалять файлы, сценарий может легко запускаться для удаления / изменения файлов, а затем удаления самого себя.
Мне это кажется странным, потому что сегодняшние черви и вирусы в основном нацелены на второстепенные цели, такие как кража информации и мониторинг пользователей для кражи информации (паролей, документов и т. Д.), В отличие от вирусов прошлого, чтобы подчеркнуть ум и творческий потенциал в их разрушительных полезные нагрузки, большинство вредоносных программ сегодня не хотят привлекать к себе внимание. Тем не менее, очень странно для сценария из общего взлома называть себя чем-то столь же очевидным, как «троян», и пытаться разрушить веб-сайт, чтобы он не работал, если это не кто-то внутренний или с повесткой дня. Это было бы моё подозрение.
Тем не менее, вы видите больше перенаправлений в журнале?
Все ли ваши машины и серверы разработчиков обновлены антивирусами и сканерами вредоносных программ? Шпион? С учетом рекламы?
Если предполагается, что сервер был взломан, вы больше не можете доверять ему, так как на нем может быть заднее программное обеспечение и / или программное обеспечение для ведения журналов. Как только что-то запущено для удаления файлов и нет никаких других следов того, что произошло, если бы я делал снимки, я думаю, что я бы хотел стереть и переустановить из заведомо хорошей резервной копии. Слишком велика вероятность того, что что-то могло установить скрытые задние двери. На вашей рабочей станции разработчика также может быть что-то установлено, и я бы просканировал их все с помощью новейшего программного обеспечения для обнаружения вредоносных программ и антивируса.
Вы можете попробовать запустить программу восстановления на жестком диске или клон диска на уровне блоков (в автономном режиме, подключенный как дополнительный том к другому компьютеру, чтобы он не выполнял ОС и код), чтобы проверить, есть ли там был программа в этом каталоге, которая соответствует этому перенаправлению, то вы можете попробовать проанализировать данные. Но это полностью зависит от вашего внутреннего опыта, времени и необходимости знать (и насколько легко это будет работать, если на вашем сервере есть том RAID, поскольку это может оказаться невозможным, если вам нужно восстановить сервер). Если это производственный сервер, я бы подумал, что у вас не будет много времени, чтобы это проверить. Если это сервер разработки, вы можете сэкономить день или два, чтобы повозиться с ним более или менее «чисто», чтобы удовлетворить свое любопытство или потребности в расследовании. Просто будьте очень осторожны, подвергая его воздействию сети (держите его в автономном режиме!), И желательно даже не загружать ОС с этого диска, так как он может запускать фоновые трояны, которые могут заразить другие вещи. Я бы запустил его как дополнительный диск с данными или с загрузочного компакт-диска Linux для анализа диска. Существует ряд судебных загрузочных дистрибутивов с инструментами для клонирования или анализа диска, если вы хотите двигаться в этом направлении.