文件在更改时自动重新创建

文件在更改时自动重新创建

攻击后,我的服务器出现了一个奇怪的问题。在 Web 文件夹中,我有一个index.php包含恶意内容的文件。当我尝试删除、重命名或更改其内容时,它会以某种方式重新创建。

我检查了 crontab 和 ps,但没有发现任何可疑的东西。

同样很有趣的是,如果我将文件的所有者更改为 root,它仍然可以重新创建而不会出现任何问题。

服务器系统名称及版本:Debian GNU/Linux 8 (jessie)

答案1

可能是某些不请自来的进程在后台运行,如果发现 index.php 丢失,就会重新创建该文件。或者,攻击者设置了incron对文件删除事件作出反应的程序。

无论如何,如果您还没有这样做,请停止在生产中使用该服务器,并将其与公共互联网断开连接。出于教育目的,您可以在隔离环境中继续调查它,以查看哪些攻击了您的服务器以及从哪里攻击了您的服务器。

除此之外,重新安装您的服务器并从备份中恢复。

答案2

认为这是一个法医找出是什么袭击了你,不是尝试让该受损服务器恢复到可用状态。

只有一个办法为了实现后者:

Burn the machine to the ground and rebuild it from scratch. 

“重新出现”的事情通常是通过 cron 完成的,通常使用充满控制字符的高度伪装的脚本,而 shell 进程只是简单地将其解释为常规文本。

答案3

最后我找到了快速的解决方案。

  1. 停止服务器
  2. 等待一段时间(跳过可能的文件检查请求序列)
  3. 更改文件内容和权限
  4. 再次启动服务器

我希望这能对别人有所帮助

相关内容