今天早上我在我的服务器(debian VPS、apache、webmin/virtualmin)中发现了电影,文件位于 /var/log/roundcube/./ 并且用户/组是 www-data
我查看了我的日志(apache、proftp、auth),没有发现奇怪的行。rkhunter 没有发现任何不好的东西。
我如何检查文件的历史记录(在隐藏文件夹中)或用户在此文件夹中上传电影的方式。
我猜这是一个后门,但是当我扫描我的网站时,没有发现任何坏东西。
我想我会暂时关闭我的网站,看看文件夹中是否有新电影,如果有,则意味着用户具有 ftp/ssh 访问权限,或者后门不在我的 var/www/ 中
提前致谢
答案1
考虑到文件的位置和所有权,我假设攻击者通过 Roundcube 中的漏洞进入,然后上传文件。解决此问题的最佳方法是对文件 (stat movie.avi) 运行 stat 命令,并查看文件实际上传的时间。获取时间戳后,您应该检查该时间范围内的 Apache 日志,以查看攻击者如何进入。rkhunter 不会发现任何东西,因为这不是实际受到攻击的操作系统,很可能是利用了 Roundcube 中的漏洞。此外,为了确保这种情况不会再次发生,您应该升级 Roundcube 并尽可能禁用 shell_exec、allow_url_fopen 和 allow_url_include。