今天我注意到 Apache 网络服务器上异常高的请求率以及相当高的传入网络流量。在检查 Apache 的 mod_status 页面后,我发现有问题的 URL 来自 path www.server.com/www/wp-includes/js/tinymce/plugins/wpautoresize/。事实上,我在那里发现了几个被黑(混淆)的 PHP 脚本。
还注意到 www-data 用户执行的奇怪过程:
www-data 7300 10.8 0.1 2122900 18768 ? Ssl Jul11 121:47 /usr/bin/host
检查/proc/7300/cmdline发现这确实是原始/usr/bin/host二进制文件。netstat -anp显示它打开了许多 HTTP 连接,因此该二进制文件以某种方式被滥用。debsums确认二进制校验和没有问题。由于该过程是在 www-data 用户下运行的,我没有理由相信服务器本身受到了威胁。
这个二进制文件是如何被滥用的?
编辑:这不是广泛的“如何处理受损服务器”问题。而是关于一种特定类型的滥用的问题(并且已经是一个答案),它在技术上是如何完成的,因为这个特殊案例在它的工作方式上非常有创意。似乎这已经流行了好几年了(旧线程和 2012 年的问题),我本周遇到了它。