几天前我的网站被黑客入侵,一个名为 的恶意文件images.pl被上传,该文件会创建一个后门,允许文件作者上传/下载/做任何他们想做的事情。后来我发现它包含PHP.C99-7。
我注意到了这个文件,备份了网站的内容,然后删除了该文件。备份在我的 MacBook Pro(运行 Mountain Lion)上。同一天,我的 MBP 开始出现问题。出于安全预防措施,我请假(我是一名网站开发人员),以便控制损失。
我对 MBP 进行了完整的 ClamXav 扫描(ML 最新版本,带有最新安全版本),但除了 ClamXav 识别为 的 php 文件外,没有发现任何异常PHP.C99-7。该文件已移至隔离区。
我决定确保 MBP 不再有恶意软件,因为那毕竟是一个后门。我将其关闭,启动到目标磁盘模式,然后使用我的 2007 Intel Mac Pro (G5)(运行 OS X 10.6.8)运行另一次 ClamXav 扫描。5 小时后,没有结果。5 小时 5 分钟后发现 17 个感染。文件被移至我的 Mac Pro 上的隔离区。
2 天后(今天),Mac Pro 开始出现异常。我收到一堆关于 .kext 文件配置错误之类的错误。我将其关闭,然后按下Command+ Option+ Shift+Power直到指示灯闪烁。然后按下Command+ Option+ P+R并按住直到听到三声提示音。最后按下Command+V以确保万无一失,但此时我得到了异常输出:
Bug: launchctl.c :3576 (25952):17: ioctl(s6, SIOCAIFADDR_IN6, &ifra6 != -1
running fsck on the boot volume...
csrusbbluetooth blah (is normal)
Executing fsck_hfs (version diskdev_cmds-491.6~3).
hfs: Removed 1 orphaned / unlinked files and 0 directories
-crucial filesystem check: fixing bogus GID 80 on path: /sbin/launchd
-(a)crucial filesystem check: adding missing mode bits 01002 on path: /tmp/
-(b)crucial filesystem check: fixing bogus GID 80 on path: /tmp/
重复 (a) 和 (b):
/var/tmp/
/var/folders
/var/db/launchd.db
/var/db/launchd.db/com.apple.launchd
launchctl: Dubious permissions on file (skipping): /Library/LaunchDaemons
launchctl: Dubious permissions on file (skipping): /System/Library/LaunchDaemons
launchctl: Dubious permissions on file (skipping): /etc/mach_init.d
然后什么也没有发生,它只是停留在最后一行。
我还没有完成单用户或安全模式,完成后会报告,但与此同时有人知道这些意味着什么以及我该如何修复它吗?