我打开了朋友的虚拟主机上的一个 php 文件夹。我在自己的虚拟主机上运行它来修复一些错误。
然后我尝试附加要通过电子邮件发送的代码,但 GMAIL 显示附件已感染病毒。
现在我担心我的 Apache 或 OS (12.04) 是否被感染。
我检查了 php 文件,发现每个 php 文件的顶部都有一组 base64 编码的代码被“eval”。只需对其进行逆向分析(使用 htmlspecialchars 回显)即可发现一些线索,表明正在使用套接字并且与权限有关。此外,还有两个网站引用了 .ru 扩展名。
现在我担心我的 Ubuntu 系统是否受到影响或受到损害。
请提供任何建议!
这是我第二次运行 rkhunter,其选项如下:
**sudo rkhunter--check--rwo 警告:命令 '/usr/bin/unhide.rb' 已被脚本替换:/usr/bin/unhide.rb:Ruby 脚本,ASCII 文本** **警告:发现隐藏目录:/dev/.udev** **警告:发现隐藏文件:/dev/.initramfs:指向“/run/initramfs”的符号链接**
答案1
您遇到的关键问题是:
您不知道到底有多少被盗取了!没有熟练的取证分析,您能否判断攻击者是否只是插入了一些附加到传出文档的代码,是否拥有窃取您个人详细信息、登录信息等的 rootkit,或者是否将您的机器用作僵尸网络的一部分(或以上所有情况)
将其视为严重受损,彻底擦除驱动器并从已知的干净安装介质和备份中重新安装!