查找在 /var/tmp 中写入的脚本

查找在 /var/tmp 中写入的脚本

我发现我的一个分区已满。

rootfs                 20G  1,8G   17G  10% /
/dev/root              20G  1,8G   17G  10% /
devtmpfs              7,8G  184K  7,8G   1% /dev
none                  7,8G     0  7,8G   0% /dev/shm
none                  7,8G  600K  7,8G   1% /var/run
none                  7,8G     0  7,8G   0% /var/lock
none                  7,8G     0  7,8G   0% /lib/init/rw
/dev/md3              1,8T  1,6T  177G  90% /var
none                  7,8G  600K  7,8G   1% /var/run
none                  7,8G     0  7,8G   0% /var/lock

通过一些递归du -sh * | sort -n,我发现我的/var/tmp2 个文件夹属于 www-data

root@ns384990:/var/tmp# ls -la
total 76
drwxr-xr-x  2 www-data www-data 36864 2014-10-27 00:11  .. 
drwxrwxrwt  4 root     root      4096 2014-10-29 06:30 .
drwxr-xr-x  2 www-data www-data 32768 2014-10-01 18:40 . .. 
drwxr-xr-x 21 root     root      4096 2013-07-23 11:49 ..

我进入..文件夹cd ' .. '(是的,2 次逃脱...我很生气,因为我没有看到第二次逃脱,而且我花了几个小时才找到它)

以下是我得到的...几部电影和连续剧

root@ns384990:/var/tmp/ .. # ls -la
total 1580112096
drwxr-xr-x 2 www-data www-data       36864 2014-10-27 00:11 .
drwxrwxrwt 4 root     root            4096 2014-10-29 06:30 ..
-rw-r--r-- 1 www-data www-data   644663385 2014-10-18 18:05 10.Things.You.Dont.Know.About.S01E02.Abraham.Lincoln.720p.HDTV.x264-DHD.mkv
-rw-r--r-- 1 www-data www-data   634213806 2014-10-24 09:44 10.Things.You.Dont.Know.About.S01E05.The.OK.Corral.720p.HDTV.x264-DHD.mkv
-rw-r--r-- 1 www-data www-data  4743372800 2014-09-19 01:41 21.2008.BluRay.720p.x264-WiKi.tar

... 1,5 部电影和连续剧发送“我不知道如何”并储存在我的/var/tmp中

我如何找到允许写入此内容的脚本?我可以使用哪些日志文件或命令来跟踪发生的事情?

这是我的操作系统信息:

Linux ns384990.ovh.net 3.8.13-xxxx-std-ipv6-64 #3 SMP 2013 年 5 月 31 日星期五 13:14:59 CEST x86_64 GNU/Linux Ubuntu 10.04.2 LTS

欢迎来到 Ubuntu!* 文档: https://help.ubuntu.com/ Ubuntu 10.04.2 LTS

** 编辑 1:刚刚找到脚本:**

** 链接因包含恶意软件而被删除**(太长,不适合放在这里)

答案1

问题不是使用哪个脚本进行这些上传;问题在于使用什么漏洞来创建用于进行这些上传的脚本。

您可以查看 apache 访问日志并尝试将这些文件的创建时间戳与发出的 http 请求关联起来。

此外,我建议研究强化你的open_basedir选项。您运行什么类型的网站?尝试搜索 www-data 用户拥有的奇怪的 php 文件,例如

查找 / -type f -iname '*.php*' -user www-data

另一个常用的技巧是定义AddHandlerAddType解析.htaccess非 php 扩展名作为 php 代码。因此,您可能需要检查系统上的所有 .htaccess 文件以查找匹配项,并且如果有任何奇怪的扩展名被映射到以 php 代码运行,请检查具有此类扩展名的文件。

相关内容