攻击后,我的服务器出现了一个奇怪的问题。在 Web 文件夹中,我有一个index.php包含恶意内容的文件。当我尝试删除、重命名或更改其内容时,它会以某种方式重新创建。
我检查了 crontab 和 ps,但没有发现任何可疑的东西。
同样很有趣的是,如果我将文件的所有者更改为 root,它仍然可以重新创建而不会出现任何问题。
服务器系统名称及版本:Debian GNU/Linux 8 (jessie)
答案1
可能是某些不请自来的进程在后台运行,如果发现 index.php 丢失,就会重新创建该文件。或者,攻击者设置了incron对文件删除事件作出反应的程序。
无论如何,如果您还没有这样做,请停止在生产中使用该服务器,并将其与公共互联网断开连接。出于教育目的,您可以在隔离环境中继续调查它,以查看哪些攻击了您的服务器以及从哪里攻击了您的服务器。
除此之外,重新安装您的服务器并从备份中恢复。
答案2
我认为这是一个法医找出是什么袭击了你,不是尝试让该受损服务器恢复到可用状态。
有只有一个办法为了实现后者:
Burn the machine to the ground and rebuild it from scratch.
“重新出现”的事情通常是通过 cron 完成的,通常使用充满控制字符的高度伪装的脚本,而 shell 进程只是简单地将其解释为常规文本。
答案3
最后我找到了快速的解决方案。
- 停止服务器
- 等待一段时间(跳过可能的文件检查请求序列)
- 更改文件内容和权限
- 再次启动服务器
我希望这能对别人有所帮助