我在同一个主机上安装了一个 Wordpress 网站和一个 phpBB3 论坛(网站在根目录中,phpBB3 在文件夹中)。从昨天开始,它运行非常慢。我检测到了一些多余的新文件,我猜有人入侵了我的 Wp 和 phpBB。我重新安装了 phpBB,现在运行良好。我还有待重新安装 Wordpress。
我可以在 /var/logs/httpd/error_log 中看到每秒重复一次的下一条消息:sh: /usr/sbin/sendmail: 没有此文件或目录
我如何知道哪个文件正在尝试发送电子邮件?我如何检查被黑客入侵的文件?
非常感谢!
答案1
我真的建议您重新设置服务器并更改所有密码,这是最安全的方法。更改密码是绝对强制性的,不要在新系统上使用相同的密码。
我真的不建议使用受感染的系统,因为你永远无法确定是否真的设法彻底清理了系统。如果你仍然想尝试,以下是我可以针对你的情况说的话:
显然,您的 Apache Web 服务器已被入侵,攻击者极有可能使用了 WordPress 或 phpbb,尤其是 WordPress 被认为是一种重要的攻击媒介。现在您的 Web 服务器正在执行攻击者注入的至少一个 PHP 脚本,该脚本试图通过 sendmail“打电话回家”,而 sendmail 显然没有安装,这就是到目前为止您幸免于难的原因。如果您的服务器配置正确,Apache 以及 PHP 脚本将无法访问或修改 /var/www 或您用于存储网页的任何目录之外的任何重要内容,因此该文件夹之外的内容被入侵的可能性非常小。我不敢打赌。
至于捕获该脚本:您可以尝试LogLevel debug在 httpd.conf 中设置,但 PHP 以缺乏日志记录功能而闻名。还有一种可能是,您在删除未知文件时已经删除了该脚本,重新启动将删除恶意代码。但也可能是攻击者注入了另一个隐藏脚本,如果文件丢失,该脚本会在服务重新启动后重新下载文件。
长话短说:注意安全,重新安装服务器,更改所有密码和密钥,并检查已安装的 WordPress/phpbb 插件/mods 是否存在已知漏洞,以防止再次感染。