我是一家共享网站托管提供商,我收到了一个投诉: * 抱怨 *
| *.*(server shared ip) | 2011-09-17 20:02:12 | jakarta.dreamhost.com | 1807770 | oscommerce remote upload from 'categories.php' |
| *.*(server shared ip) | 2011-09-17 19:42:51 | claudus.dreamhost.com | 1798150 | e107 BBCode Arbitrary PHP Code Execution Vulnerability |
| *.*(server shared ip) | 2011-09-17 19:54:54 | djibouti.dreamhost.com | 1800723 | e107 BBCode Arbitrary PHP Code Execution Vulnerability |
| *.*(server shared ip) | 2011-09-17 19:50:18 | fernandes.dreamhost.com | 1802863 | oscommerce remote upload from 'categories.php' |
| *.*(server shared ip) | 2011-09-17 19:53:32 | andromeda.dreamhost.com | 1791213 | e107 BBCode Arbitrary PHP Code Execution Vulnerability |
| *.*(server shared ip) | 2011-09-17 19:54:17 | pictor.dreamhost.com | 1814763 | oscommerce remote upload from 'categories.php' |
| *.*(server shared ip) | 2011-09-17 19:54:54 | telescopium.dreamhost.com | 1819732 | e107 BBCode Arbitrary PHP Code Execution Vulnerability
因为 IP 地址是共享的,这里有人可以帮我找到哪个用户做了这件事吗?
我的服务器是 centos,带有 cpanel WHM
有什么方法可以确定哪个脚本执行了此操作?或者有什么方法可以查看 tcp 连接历史记录以确定哪些脚本已连接到目标 IP?
答案1
如果 PHP 脚本从您的 Web 服务器运行(而不是命令行,这也是可能的),您应该在 Web 服务器的日志文件中找到相关信息。
答案2
对服务器进行映像备份(如果是虚拟机,则很容易做到)。保存并分析您的日志 apache、消息、auth、ftp。检查日志中时间之前的登录。搜索 atime 在同一天或之后的文件/脚本。