我的一个网站一直是“Pharma Hack”的持续目标——但它使用的是 Drupal 而不是 Wordpress 或 Joomla。它是第 6 版,但已更新到最新版本,我安装的所有模块也是如此。
我更改了密码,删除了有问题的文件,完全重新安装了该站点,但不知何故他们继续获得访问权限.. 该站点是一个非营利组织,它严重影响了我们在 Google 等上的搜索结果。
可能重复:
我的服务器被黑了 紧急情况
我的服务器有问题(在 Centos 5 上运行)。
在检查流量时,我运行“$lsof | grep ezbuyinfo”并显示 smtp 端口上的连接过多。
我试过 rkhunter,但没有找到。
然后我检查了我的 web 源代码,我发现了一些奇怪的源代码(.php 和 .pl)。(他们不是我的,我敢肯定)。
我删除了它,杀死进程,重新启动 apache。但是还是有问题。我再次运行 "$lsof | grep ezbuyinfo" 它显示:
###########################################################################################
.......
.......
httpd.pl 7686 ezbuyinfo cwd DIR 8,1 4096 2 /
httpd.pl 7686 ezbuyinfo rtd DIR 8,1 4096 2 /
httpd.pl 7686 ezbuyinfo txt REG 8,1 11380 278644 /usr/bin/perl
httpd.pl 7686 ezbuyinfo mem REG 8,1 1693812 1251324 /lib/libc-2.5.so
httpd.pl 7686 ezbuyinfo mem REG 8,1 216544 1251325 /lib/libm-2.5.so
httpd.pl 7686 ezbuyinfo mem REG …对过去 2 周发生的事件的快速总结:我们注意到我们的 SQL Server 变得异常缓慢。这是我们的一个本地超级计算组用来运行查询的关键机器。他们经常在我们大学以外的地方与他人合作。我们还为他们的合作者提供直接访问权限,因此它位于公共 IP 空间。
在从 SQL 和 windows 安全日志中注意到有来自亚洲/中国地区的访问尝试后,我们加强了措施,现在只允许 SQL 端口 1433 和 RDP 访问我们的校园网络和我们的合作伙伴校园.
然而,黑客企图似乎仍在发生。仍然有 10 到 20 次/分钟的尝试次数来登录我们的 SQL 机器。当我在事件查看器中查看安全日志时,这是一堵巨大的审计失败墙。
它们的事件 ID 均为 4776,并没有提供太多详细信息。以下是示例事件日志的样子:
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: marvin
Source Workstation: FATBOY
Error Code: 0xc0000064
经过一番挖掘,似乎有人试图用不存在的帐户登录。他们使用的登录帐户名称各不相同,很明显这是黑客企图。他们使用诸如 Admin、administrator、sysadmin、accounting、office、billing 等名称。
现在,我的问题是,有没有一种方法可以防止或加强安全性,使我网络外部的人无法通过 ATTEMPT 事件登录我的服务器?我错误地认为我所要做的就是通过 Windows 防火墙加强 SQL 端口和 RDP 的安全性。对我来说很明显,他们仍然可以尝试在不使用 RDP 的情况下访问机器。有没有人有关于这如何可能的任何细节,有没有办法阻止它?
我担任系统管理员的时间不长,我的主管正在休假。我已经尽了我应有的研究,但仍然想不出任何东西。上周,事件日志显示了更多有用的详细信息,例如源 IP 地址,这使我能够确定它们的来源,从而得出结论,这是一次明显的黑客攻击尝试。
当前的大量登录尝试使事情变慢,以至于我们客户的查询超时。对此的任何帮助或见解将不胜感激。
谢谢!
我一直在我的 nginx 和 Apache 服务器日志文件中看到以下内容为 400:
() { :; }; /bin/ping -c 3 x.x.x.x
xxxx 是不同的 IP。这看起来像黑客试图在服务器中找到漏洞吗?我们有 IP 阻止设施,但如果它是真实的,我不想这样做。
完整的日志文件条目是:
207.150.177.200 - - [25/Sep/2015:08:51:02 +0200] "GET / HTTP/1.0" 400 226 "() { :; }; /bin/ping -c 3 82.118.236.247" "-"
可能重复:
我的服务器被黑了 紧急情况
您好,我的整个网站可能被 wordpress 漏洞攻击了,我急于详细解释,但请帮我一个忙,看看以下网站:
在那里它说:
现在,您必须输入以下内容才能进入您的 html/php 文件和所有安装的文件夹(不要忘记按回车键):
cd html
你几乎清理了你的网站。必须将以下代码复制粘贴到 PUTTY 窗口中:
找 。-type f -name "*.php" -exec sed -i '/base64_decode/d' {} \;
要粘贴到 PUTTY 窗口中,只需在应插入代码的位置单击鼠标右键。(这里的代码是在所有的 php 文件中搜索 base64_decode 标签,如果找到,则将其与整个恶意软件代码一起删除。这将检查您之前访问过的文件和文件夹下的所有文件和文件夹,在这种情况下“html”文件夹,这是文件的根目录)
谁能告诉我这个人的解释是否属实?
find . -type f -name "*.php" -exec sed -i '/base64_decode/d' {} \;
上面的命令安全吗?它会编辑受感染的文件还是将它们全部删除?
感谢您的回复。
更新:不幸的是,该命令删除了 base64_encode 行所在的整行。问题是这一行还包含<?php文件的开始标记!所以现在,我所有的 index.php 页面(只有 index.php 被感染)显示所有代码而不是执行它:( 是否可以运行另一个命令,<?php在每个不以“开头的 index.php 中添加标签”任意数量的空格<?php“?
更新 2:感谢任何回答的人。也祝贺所有因为在恐慌模式下没有采取正确行动而对某人投反对票的人。如果它发生在您的网站上,祝您好运...