我们公司的一个服务器似乎已成为 php 后门攻击的受害者。我设法找到并关闭了几个漏洞,但似乎有一个漏洞仍然存在,它正在将一个 php/webshell 后门写入我们的 C:/windows/temp。
Microsoft Security Essentials 似乎能够很好地检测出这种威胁并在其执行之前将其删除,但问题是我需要查看文件安全属性以查看哪个应用程序池正在创建这些文件(我们在此服务器上有大约 16 个不同的站点)。
是否有人知道可以监视写入 C:/windows/temp 的文件的程序/方法?
答案1
第一的:
您应该从已知的良好备份中恢复。至少,使用某种救援 CD 离线扫描服务器。这样就搞定了……
下一个:
使用进程探索器深入了解流程和文件活动。您还可以使用安全策略审核文件系统访问。但是,由于服务器已被入侵,我不会相信它告诉我的任何信息。
(点击图片!你会喜欢的!)
答案2
对于一次性答案,Microsoft Sysinternals进程监控将监视您想要的任何文件活动,甚至更多。