我今天遇到了一个奇怪的问题。今天早上,我正在编写和测试一些简单的 cgi 脚本,然后我意识到我无法从 (windows) 网络上的其他计算机之一运行它们。所以我让我的网络管理员来看看发生了什么。几分钟后,一位同事进来告诉我,他正在处理的一堆文件以及网络驱动器上的一堆其他文件(所有 *.c 文件)都被删除了。他还注意到在文件被删除的同一目录中有一些奇怪的 apache_dump_500.log.txt 文件。
apache_dump_500.log.txt 文件全部如下所示:
REDIRECT_HTTP_ACCEPT=*/*, image/gif, image/x-xbitmap, image/jpeg
REDIRECT_HTTP_USER_AGENT=Mozilla/1.1b2 (X11; I; HP-UX A.09.05 9000/712)
REDIRECT_PATH=.:/bin:/usr/local/bin:/etc
REDIRECT_QUERY_STRING=
REDIRECT_REMOTE_ADDR=<my computer's local ip>
REDIRECT_REMOTE_HOST=
REDIRECT_SERVER_NAME=<my computer's domain url>
REDIRECT_SERVER_PORT=
REDIRECT_SERVER_SOFTWARE=
REDIRECT_URL=/cgi-bin/trojan.py
我查看了一下,我的 cgi-bin 文件夹中没有任何 trojan.py。而且我的所有 apache 日志都是干净的。Windows 事件记录器似乎也没有任何发生过什么的痕迹。
我的httpd.conf:http://pastebin.com/Yny2Yh8v
我认为我们感染了某种病毒,它会将此 trojan.py 文件添加到我的 cgi-bin,运行该脚本,然后删除该脚本以及日志中的任何痕迹。会发生这种情况吗?
如有任何想法我将不胜感激!
答案1
有可能吗?当然。如果文件夹中的权限允许执行进程的用户删除文件,则脚本可以轻松运行以删除/更改文件,然后删除自身。
不过,我觉得这很奇怪,因为当今的蠕虫和病毒大多针对次要目的,例如窃取信息和监视用户以窃取信息(密码、文档等),因此与过去的病毒不同,过去的病毒会在其破坏性负载中突出聪明才智和创造力,而当今的大多数恶意软件并不想引起人们的注意。话虽如此,普通黑客编写的脚本给自己起一个像“特洛伊木马”这样明显的名字,并继续试图破坏网站以阻止其运行,这非常奇怪,除非是内部人员或有目的的人所为。这是我的怀疑。
也就是说,您是否在日志中看到更多重定向?
您所有的开发机器和服务器是否都更新了防病毒和恶意软件扫描程序?间谍机器人?广告感知?
如果服务器被认为已被黑客入侵,您就不能再信任它了,因为它可能有后门软件和/或日志记录软件。一旦某些程序运行删除文件,并且没有其他发生的事情的痕迹,如果我是主宰者,我想我会想要从已知的良好备份中擦除并重新安装。某些程序安装隐藏后门的可能性实在太大了。您的开发工作站可能也安装了某些程序,我会用最新的恶意软件检测软件和防病毒软件扫描所有这些程序。
您可以尝试在硬盘上运行恢复删除程序或驱动器的块级克隆(离线,作为辅助卷连接到另一台计算机,因此它不执行操作系统和代码),以查看是否存在曾是如果您在该目录中找到与该重定向匹配的程序,则可以尝试分析数据。但这完全取决于您的内部专业知识、时间和需要了解的内容(以及如果您的服务器具有 RAID 卷,它将如何轻松地工作,因为如果您需要恢复服务器,这样做可能不可行。)如果这是一台生产服务器,我认为您不会花太多时间检查这一点。如果是开发服务器,您可能可以腾出一两天时间以或多或少“干净”的方式摆弄它,以满足您的好奇心或调查需求。只需非常小心地将其暴露给网络(保持离线!)并且最好不要从该驱动器启动操作系统,因为这可能会运行会感染其他东西的后台木马。我会将其作为辅助数据驱动器或从可启动的 Linux CD 运行以分析驱动器。如果您想要这样做,有许多取证启动发行版提供用于克隆或分析驱动器的工具。