我发现我的一个分区已满。
rootfs 20G 1,8G 17G 10% /
/dev/root 20G 1,8G 17G 10% /
devtmpfs 7,8G 184K 7,8G 1% /dev
none 7,8G 0 7,8G 0% /dev/shm
none 7,8G 600K 7,8G 1% /var/run
none 7,8G 0 7,8G 0% /var/lock
none 7,8G 0 7,8G 0% /lib/init/rw
/dev/md3 1,8T 1,6T 177G 90% /var
none 7,8G 600K 7,8G 1% /var/run
none 7,8G 0 7,8G 0% /var/lock
通过一些递归du -sh * | sort -n
,我发现我的/var/tmp
2 个文件夹属于 www-data
root@ns384990:/var/tmp# ls -la
total 76
drwxr-xr-x 2 www-data www-data 36864 2014-10-27 00:11 ..
drwxrwxrwt 4 root root 4096 2014-10-29 06:30 .
drwxr-xr-x 2 www-data www-data 32768 2014-10-01 18:40 . ..
drwxr-xr-x 21 root root 4096 2013-07-23 11:49 ..
我进入..文件夹cd ' .. '
(是的,2 次逃脱...我很生气,因为我没有看到第二次逃脱,而且我花了几个小时才找到它)
以下是我得到的...几部电影和连续剧
root@ns384990:/var/tmp/ .. # ls -la
total 1580112096
drwxr-xr-x 2 www-data www-data 36864 2014-10-27 00:11 .
drwxrwxrwt 4 root root 4096 2014-10-29 06:30 ..
-rw-r--r-- 1 www-data www-data 644663385 2014-10-18 18:05 10.Things.You.Dont.Know.About.S01E02.Abraham.Lincoln.720p.HDTV.x264-DHD.mkv
-rw-r--r-- 1 www-data www-data 634213806 2014-10-24 09:44 10.Things.You.Dont.Know.About.S01E05.The.OK.Corral.720p.HDTV.x264-DHD.mkv
-rw-r--r-- 1 www-data www-data 4743372800 2014-09-19 01:41 21.2008.BluRay.720p.x264-WiKi.tar
... 1,5 部电影和连续剧发送“我不知道如何”并储存在我的/var/tmp中
我如何找到允许写入此内容的脚本?我可以使用哪些日志文件或命令来跟踪发生的事情?
这是我的操作系统信息:
Linux ns384990.ovh.net 3.8.13-xxxx-std-ipv6-64 #3 SMP 2013 年 5 月 31 日星期五 13:14:59 CEST x86_64 GNU/Linux Ubuntu 10.04.2 LTS
欢迎来到 Ubuntu!* 文档: https://help.ubuntu.com/ Ubuntu 10.04.2 LTS
** 编辑 1:刚刚找到脚本:**
** 链接因包含恶意软件而被删除**(太长,不适合放在这里)
答案1
问题不是使用哪个脚本进行这些上传;问题在于使用什么漏洞来创建用于进行这些上传的脚本。
您可以查看 apache 访问日志并尝试将这些文件的创建时间戳与发出的 http 请求关联起来。
此外,我建议研究强化你的open_basedir选项。您运行什么类型的网站?尝试搜索 www-data 用户拥有的奇怪的 php 文件,例如
查找 / -type f -iname '*.php*' -user www-data
另一个常用的技巧是定义AddHandler
或AddType
解析.htaccess
非 php 扩展名作为 php 代码。因此,您可能需要检查系统上的所有 .htaccess 文件以查找匹配项,并且如果有任何奇怪的扩展名被映射到以 php 代码运行,请检查具有此类扩展名的文件。