我们的服务器被入侵了,我们想知道哪些账户从我们的服务器发送了恶意查询。我使用 tcpdump 得到了以下信息:
our.host.net.48194 > box5596.bluehost.com.http: Flags [P.], cksum 0x0bf8 (incorrect -> 0x5061), seq 0:741, ack 1, win 229, options [nop,nop,TS val 260555861 ecr 3817788688], length 741: HTTP, length: 741
POST /xmlrpc.php HTTP/1.1
Host: www.devynamaya.com
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0
Content-Length: 484
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip
Connection: close
<?xml version="1.0"?><methodCall><methodName>system.multicall</methodName><params><param><value><array><data><value><struct><member><name>methodName</name><value><string>wp.getUsersBlogs</string></value></member><member><name>params</name><value><array><data><value><array><data><value><string>admin</string></value><value><string>password123</string></value></data></array></value></data></array></value></member></struct></value></data></array></value></param></params></methodCall>[!http]
另一方面,我安装了其他不同的工具,如、、clamav
...等。对于 tcpdump 数据包,我使用。chrootkit
rkhunter
wireshark
问题是我似乎找不到发送该数据包的用户,因此我无法暂停他们的 cpanel 帐户。
是否有任何工具可以帮助追踪被盗用的帐户?我们在这个服务器上有数百名用户,这就像大海捞针。
如果我不知道哪个客户端的网站受到了感染,那么分析数据包就毫无用处。
谢谢 !
答案1
大多数被入侵的账户/服务器往往都含有恶意软件,它会通过受感染的文件发送恶意查询、垃圾邮件等。此时分析数据包会很困难且毫无用处。
您可以做的是使用以下方法扫描用户文档根目录马尔代特
我以前使用过 maldet,它是一个很棒的工具,有自己的签名数据库,当 clamav 安装并可用时,它使用 clamav 作为引擎。