入侵者试图在我的盒子上安装 rootkit。我想要它回来，然后重新安装。如何替换攻击者安装的无效文件？我不能 chown 或 rm 他们。它在 rm、chown、mv 或类似文件上显示“不允许操作”。我正在运行 debian sarge。

编辑：chattr 显示了一些标志（s、i 和 a），但删除它们无济于事。再次编辑：我的错，抱歉，chattr 确实有效。我不知道我看到了。

我想知道这怎么会发生。有人从我所有的域中删除了我的index.php文件，并将他自己的index.php文件与下一条消息放在一起：

通过Z4i0n黑客攻击-致命错误- 2009
[致命错误组BR]
网站desfigurado POR Z4i0n
SOMOS：Elemento_pcx - s4r4d0 - Z4i0n - BELIVE
Gr33tz：W4n73d - M4v3rick -观测- MLK - l3nd4 - Soul_Fly
2009

我的域有很多子域，但只有特定用户可以访问的子域被黑了，其余的不受影响。

我假设有人通过 SSH 进入，因为其中一些子域是空的，而 Google 不知道它们。但是我使用最后一个命令检查了访问日志，但这并没有显示攻击当天通过 SSH 或 FTP 进行的任何活动，7 天前也没有。

我已经更改了密码。你建议我做什么？

更新

我的网站托管在Dreamhost。我想他们安装了最新的补丁。但是，当我查看他们如何进入我的服务器时，我发现了一些奇怪的事情。在我的一个子域中，有许多脚本用于在服务器上执行命令、上传文件、发送大量电子邮件和显示妥协信息。这些文件是从去年 12 月创建的！！

我已经删除了这些文件，我正在寻找更多的恶意文件。

也许安全保留是一个旧的和被遗忘的 PHP 应用程序。此应用程序具有受基于会话的密码系统保护的文件上传表单。其中一个恶意脚本位于上传目录中。这看起来不像是SQL 注入攻击。

我认为这是某种类型的黑客尝试。我试过用谷歌搜索它，但我得到的只是看起来已经被利用的网站。

我看到对我的一个页面的请求看起来像这样。

/listMessages.asp?page=8&catid=5+%28200+ok%29+ACCEPTED

'(200 ok) ACCEPTED' 很奇怪。但它似乎没有做任何事情。

我在 IIS 5 和 ASP 3.0 上运行。这个“黑客”是否适用于其他类型的网络服务器？

编辑：

正常请求看起来像：

/listMessages.asp?page=8&catid=5

更新：他们还在这里。帮我阻止或困住他们！

嗨，SF'ers，

我刚刚有人入侵了我的客户网站之一。他们设法更改了一个文件，以便网站上的结帐页面将付款信息写入文本文件。

幸运或不幸的是，他们塞满了，代码中有一个错字，这破坏了网站，所以我马上就知道了。

我对他们如何做到这一点有一些了解：

我的网站 CMS 有一个文件上传区域，您可以在其中上传要在网站内使用的图像和文件。上传仅限于 2 个文件夹。我在这些文件夹中发现了两个可疑文件，在检查内容时，这些文件似乎允许黑客查看服务器的文件系统并上传自己的文件、修改文件甚至更改注册表项？！

我删除了一些文件并更改了密码，并且正在尝试保护 CMS 并通过扩展限制文件上传。

你们还有什么可以建议我做的，以尝试找出有关他们如何进入的更多详细信息，以及我可以做些什么来防止将来发生这种情况？

访问以下所有内容会将您带到登录屏幕：

http://mysite.com/admin/configuration.php
http://mysite.com/admin/login.php

但是，如果您访问（注意 url 字符串的最后两部分都是 .php）：

http://mysite.com/admin/configuration.php/login.php

您可以看到配置屏幕及其所有数据！

此外，如果您附加一些 GET 变量，您甚至可以获得可编辑的字段：

http://mysite.com/admin/configuration.php/login.php?cID=1&action=edit

这里发生了什么？

我应该注意，这是在网站上使用称为 oscommerce 的绝对可怕的购物车。代码是处理的噩梦，但我现在坚持使用它。

编辑

基于以下 vstm 出色而准确的评论的修复：

这将在检查之前进行$current_page != FILENAME_LOGIN（大约在 /admin/includes/application_top.php 中的第 141-143 行）。请注意，这只是一个紧急补丁，因为真正的解决方案是永远不要使用 oscommerce，因为它就像妓女的腰带一样安全。

//$current_page = basename($PHP_SELF); //this is the default
$current_page = basename($_SERVER['SCRIPT_NAME']); //change that default to this

if ( ($current_page == FILENAME_LOGIN) && !tep_session_is_registered('redirect_origin') ) {
      $current_page = FILENAME_DEFAULT;
      $HTTP_GET_VARS = array();
    }

如果有人尝试这样做，请不要忘记redirect_origin可能已经设置了会话变量，因此这似乎不起作用。只需取消设置并重试。

可能重复：
我的服务器被黑了 紧急情况

我正在尝试确定此 linex 网络服务器/openfire 服务器是否已被某种形式的恶意软件或黑客入侵。你能帮我确定这个服务器是否被黑了吗？

下面的日志片段来自运行 apache 的 linux 服务器。前几天安装在服务器上的moodle站点开始渲染apache默认页面。访问日志还显示了一些我不确定的活动。请参阅下面的日志。

85.190.0.3 - - [02/Apr/2012:13:31:01 -0600] "CONNECT 213.92.8.7:31204 HTTP/1.0" 405 303 "-" "-"
85.190.0.3 - - [02/Apr/2012:13:31:01 -0600] "CONNECT 213.92.8.7:31204 HTTP/1.0" 405 303 "-" "-"
99.41.69.92 - - [02/Apr/2012:13:33:35 -0600] "GET /files/externallibs.php HTTP/1.1" 404 306 "-" "curl/7.18.0 (x86_64-pc-linux-gnu) libcurl/7.18.0 OpenSSL/0.9.8g zlib/1.2.3.3 libidn/1.1"
212.34.151.92 - - [02/Apr/2012:14:01:46 -0600] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 305 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"
212.34.151.92 - - [02/Apr/2012:14:01:46 …

我刚刚认识到，Windows隐藏一些特殊用户，如例如NT Authority\SYSTEM用户或者是在SQL Server安装后添加的用户（ReportServer$SQLEXPRESS，IIS_IURS，...）。我知道可以在特定用户的权限下执行应用程序，所以它工作正常。根据我的理解，用户处于活动状态，但在计算机启动时尝试登录时无法访问。Windows 也仅显示特定用户，因此 Windows 中必须有一个选项可以定义用户帐户是否应该可见。

为了我的兴趣，我试图让隐藏的用户帐户可见。经过几分钟的研究，我偶然发现了一个注册表黑客：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList. 出于某种原因，它在我的机器上不起作用。我还尝试重新启动计算机之类的东西。

但是 someshow Windows 必须有一个选项来隐藏用户。它在哪里？我搜索了几个小时并检查了所有可用的 Windows 选项 - 我找不到方法。我的目标是使NT Authority\SYSTEM从欢迎屏幕登录成为可能。我该怎么做，窗户在哪里保护了这种可能性？为什么不net users显示其他用户（我的、访客、管理员除外）？

我们的一个网络项目被黑了。Malefactor 更改了项目中的一些模板文件和 web 框架的 1 个核心文件（它是著名的 php 框架之一）。我们通过 git 找到了所有损坏的文件并恢复了它们。所以现在我需要找到弱点。

我们很可能会说，这不是 ftp 或 ssh 密码劫持。主机提供商的支持专家（经过日志分析）说这是我们代码中的安全漏洞。

我的问题：

1) 我应该使用什么工具来查看 Apache 的访问和错误日​​志？（我们的服务器发行版是 Debian）。

2）能否在日志中写下可疑行检测的提示？也许是一些有用的正则表达式或技术的教程或入门？

3) 如何区分日志中的“正常用户行为”和可疑行为。

4) 有什么方法可以防止 Apache 中的攻击吗？

谢谢你的帮助。

有没有人对为什么 Angry IP Scanner (IPScan) 被如此多的防病毒供应商检测为病毒（hacktool），而 Nmap 和 Advanced IP Scanner 等类似工具却没有？我已经搜索了这个问题的答案，但一直找不到原因。这不是征求意见；我希望过去有人可能已经看到了这个问题的答案，并且可以将我链接到原因的来源。

正如标题所示，我们有一个使用第三方 smtp 凭据发送电子邮件的网站，但是，我们的 smtp 凭据不断被黑客攻击并用于发送垃圾邮件，这导致我们的 smtp 帐户被暂停，我们首先使用 ses，并且然后想到我们需要添加spf，dkim和dmarc，添加后，我们转移到sendgrid，再次被黑客攻击，队友认为这是因为访问sendgrid的弱密码，但我不这么认为，因为密码测试说它很强大，需要 2000 年才能破解，我们并不真正知道问题所在，我们的网站使用 Laravel 7，黑客如何访问 .env 文件？

请帮助。