its*_*ols 2 php security apache2 sockets
我从朋友的网络主机上打开了一个 php 文件夹。我在我的上运行它以修复一些错误。
然后我尝试附上要通过电子邮件发送的代码,GMAIL 指出该附件已被病毒感染。
现在我担心我的 Apache 或 OS (12.04) 是否被感染。
我检查了 php 文件,发现在每个 php 文件的顶部都有一组 base64 编码的代码被“评估”。只需将其反转(使用 htmlspecialchars 回显)就显示了一些线索,表明正在使用套接字并且与权限有关。还有两个网站被提及具有 .ru 扩展名。
现在我担心我的 Ubuntu 系统是否受到影响或受到损害。
请任何建议!
这是我第二次运行 rkhunter 的选项:
**sudo rkhunter --check --rwo 警告:命令“/usr/bin/unhide.rb”已被脚本替换:/usr/bin/unhide.rb:Ruby 脚本,ASCII 文本** **警告:找到隐藏目录:/dev/.udev** **警告:找到隐藏文件:/dev/.initramfs:指向`/run/initramfs'的符号链接**
您遇到的关键问题是:
你不知道有多少妥协!如果没有熟练的取证分析,您能否判断攻击者是否刚刚插入了一些附加到传出文档的代码,是否有一个 Rootkit 正在窃取您的个人详细信息、登录信息等,或者是否将您的机器用作僵尸网络的一部分(或上述所有内容) )
将其视为严重受损,完全擦除驱动器并从已知的干净安装媒体和备份重新安装!
| 归档时间: |
|
| 查看次数: |
1163 次 |
| 最近记录: |