我的提供商通知我,我的 Web 服务器遭受了出站攻击。经过进一步检查,我在 Apache error.log 文件中看到了以下内容:
--2012-02-04 04:40:59-- http://www.luxelivingforum.com/wp-content/themes/lifestyle/run
Resolving www.luxelivingforum.com... 184.168.113.199
Connecting to www.luxelivingforum.com|184.168.113.199|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 68338 (67K) [text/plain]
Saving to: `./run'
0K .......... .......... .......... .......... .......... 74% 61.8K 0s
50K .......... ...... 100% 11.1M=0.8s
2012-02-04 04:41:01 (82.4 KB/s) - `./run' saved [68338/68338]
Unquoted string "crazy" may clash with future reserved word at ./bot.pl line 174.
Unquoted string "crazy" may clash with future reserved word at ./bot.pl line 211.
Unquoted string "crazy" may clash with future reserved word at ./bot.pl line 244.
Unquoted string "crazy" may clash with future reserved word at ./bot.pl line 251.
上述内容意味着什么?
答案1
你的服务器肯定已经被入侵了,现在正在被远程命令发起攻击。你应该恢复你的最后一个不妥协备份并立即修补您的 wordpress 安装。您必须每天监控 wordpress(和 wordpress 插件)的安全公告。
答案2
这看起来不像是 Apache 错误日志中应该有的内容。您(或您的托管服务提供商)是否通过 syslog 发送日志?
无论如何,这里有一个明确的迹象表明存在妥协。有问题的文件是某种机器人(我还没有时间亲自分析它),可能现在正在您的系统上运行并攻击其他人的系统。
您应该立即做两件事,甚至在“清除所有内容,从备份中重新安装”的标准建议之前,就是使用 找到机器人的 pid ps -ef | grep bot.pl,然后使用 将其杀死kill -9 <the pid you found>。您可能还想删除将称为“bot.pl”的机器人代码。您可能可以使用 找到它locate bot.pl。
该机器人看起来并不特别聪明或复杂,似乎没有做任何事情来隐藏其踪迹。杀死它并删除机器人代码后,你大概清理。但是,除非您执行清除并重新安装的过程,否则您永远无法确定自己是否已被入侵。
您最后要做的一件事是尝试找出它们是如何进入的,以便您可以堵住漏洞。如果您执行了清除并安装,请确保保留所有日志的副本以供日后分析。同一时间段的 Apache 访问日志应该会提示您它们做了什么。