我收到一些关于网站暂停的消息,我必须对其进行调试,我该怎么做?

tag-icon tag-icon hacking suspend attacks
我收到一些关于网站暂停的消息,我必须对其进行调试,我该怎么做?

可能重复:
我的服务器被黑了 紧急求助

托管公司向其客户提供了一封电子邮件,客户希望我提供一些帮助。邮件内容如下:

 Any items listed here which are folders 
named with 5 to 7 random letters are are likely FTP account hacks

Checking for known bad files
/home2/1/public_html/images/sm6ay7.php
/home2/1/public_html/images/sm5ak0.php

Checking for known spam scripts
/home2/1/public_html/images/sm6ay7.php
/home2/1/public_html/images/sm5ak0.php
/home2/1/public_html/images/rssok4.php

These files are suspicious and should be looked at before deleting

The redirects in these files may not be legitimate. 
 Often the actual file name will give you an idea if it is legit or not. 
If any .htaccess files are listed here, they need to be cleaned.


TimThumb fixes

Thumbs DB fixes

Completed

------------------------
  Trackback
------------------------ 

These results are likely valid files 
that have had code added to them so they should be cleaned 
rather than removed: 

------------------------
  .htaccess 
------------------------


------------------------
  General
------------------------
Started at: Sun Jul 15 15:55:04 MDT 2012

/home2/1/public_html/images/sm6ay7.php
/home2/1/public_html/images/sm5ak0.php
/home2/1/public_html/images/rssok4.php

Completed at: Sun Jul 15 15:55:05 MDT 2012 

------------------------
  Phish
------------------------ 

Started at: Sun Jul 15 15:55:05 MDT 2012

Completed at: Sun Jul 15 15:55:05 MDT 2012 

------------------------
  Base64
------------------------

代码如下在上述文件中。这些代码行的作用我不知道。我也不是程序员。由于这些文件位于图像文件夹中,因此似乎很可疑。我看过进入,但我不确定我是否有 WP 作为 CMS。
我确实可以访问网站的控制面板,我尝试使用 SSH,但无法访问,控制面板中可能有一些我需要处理的配置,主要问题是其中的垃圾邮件,对于 SSH,我将通过查看配置文件来管理某种方式。

.htaccess 配置设置。

IndexIgnore .htaccess */.??* *~ *# */HEADER* */README* */_vti*

<Limit GET POST>
order deny,allow
deny from all
allow from all
</Limit>
<Limit PUT DELETE>
order deny,allow
deny from all
</Limit> 

AuthUserFile /home/1/public_html/_vti_pvt/service.pwd
AuthGroupFile /home/1/public_html/_vti_pvt/service.grp

我是这个领域的新手,如果能得到一些帮助我将非常感激。关于识别和经验法则(如果有的话),以便进行调试。

答案1

您提供的文件肯定是一个远程触发的邮件机器人。我快速格式化了它,它组装了一封电子邮件并使用发送mail()。我没有详细研究它的工作原理,但总体思路非常明显。有趣的是,它向我显示了一个语法错误,所以它可能从来没有起作用过。

您需要清理服务器。我建议您备份,然后删除所有文件,从头开始安装他们使用的任何 cms。您可能可以安全地保留数据库,它可能已损坏,但至少不应从那里执行代码。您还需要恢复图像文件夹。如果只有几个文件,请恢复那些实际上是图像的文件(只需尝试打开它们)。显然不要恢复任何脚本(以 .php、.pl、.py、.sh 等结尾)或可执行文件(无结尾,.exe、.cmd、bat 等)。务必更改所有密码并确保它们是好的。

您还需要了解他们使用的特定软件的安全性。漏洞可能仍然存在,需要先修复它,然后才能成功清除病毒。

答案2

我的建议是从主机商那里拿走所有东西,复制文件/转储数据库,然后删除所有内容并让主机商知道您清理了帐户,这样您就不会被停权了。接下来,我建议将所有密码重置为更安全的密码,最少 20 个随机符号,来自此数组:A-Za-z!@#$%^&*(),./ 。接下来,如果您使用的是 WP,请安装清理 WP 并恢复数据库。

接下来仔细恢复所有遗漏的内容,如果不是 CMS,请使用某些工具(例如 VirusTotal 等)检查每个文件。如果您发现文件是安全的,请将其上传到主机。

相关内容