Назад | Перейти на главную страницу

Взломанный веб-сервер / несколько доменов

Возможный дубликат:
Мой сервер был взломан в АВАРИИ

Ранее сегодня я обнаружил много странных файлов на одном из моих серверов (под управлением Ubuntu Server 10.04), и я не могу понять, как они туда попали. Наверное, какая-то XSS-инъекция, нужно копать дальше в моих приложениях.

Что я нашел; Несколько каталогов в корневом веб-каталоге нескольких доменов с короткими именами («wesz», «aog0», «uioolz», ...), содержащие точно такие же файлы и файловые структуры. Google ничего не сообщает мне об этих файлах или каталогах, поэтому Я положил их сюда. Это похоже на целевую страницу для какого-то MITM против Microsoft Live и его пользователей.

Файловая структура:

- uioolz (or similar short named directory)
    dataz.php
    index.php
    go.php
    smart.php
    - fll
        <HTML, CSS & JS files for MITM>

Кто-нибудь узнает их и / или может сказать мне, как они могут появиться в моем веб-корне?

Я запускал несколько инструментов для проверки руткитов, копания в журналах, истории bash и т. Д., Но я не могу найти ничего, что указывало бы на то, что у злоумышленников была оболочка (или они действительно хорошо ее скрывают). В найденных каталогах и файлах также был пользователь apache в качестве владельца и группы, что может указывать на то, что они были загружены посредством инъекционной атаки. Однако то, что я нашел одни и те же файлы и каталоги в нескольких корневых веб-доменах, доменах, которые не имеют ничего общего, все еще меня беспокоит. Это может указывать на то, что они действительно получили оболочку ... Но не все домены на сервере были атакованы, только небольшая часть.

Как я могу продолжить? На данный момент у меня нет возможности выполнить чистую установку, но она будет выполнена.

Существуют ли какие-либо полезные инструменты, которые могут проверить XSS или другие типы инъекционных уязвимостей?

Я также могу добавить, что файлы злоумышленников, похоже, отправляют информацию в два внешних домена (в частности, в gta.php);

http://colorpop.com/wp-content/plugins/mailchimp/gta.php?info=<BASE64-INFO>
http://oderena.lt/gta.php?info=<BASE64-INFO>

Домены, зарегистрированные через прокси-регистратора.

  • убедитесь, что ваш каталог apache (дерево документов веб-сервера) не доступен для записи
  • проверьте свои журналы apache на наличие подозрительных запросов GET / POST (вы можете найти эти имена)
  • проверьте журналы ftp на наличие подозрительных запросов (эти имена можно найти с помощью grep)
  • убедитесь, что ваше программное обеспечение обновлено
  • если вы используете стороннее программное обеспечение, обратитесь в их службу поддержки
  • вы можете проверить эти инструменты: 125 лучших инструментов сетевой безопасности