我比来处理了一个Linux Web办事器被入侵的案子，工作的原由是客户发明Web办事器上出现了一个新的PHP文件，它与运行在办事器上的WordPress应用法度榜样和特定的用户代劳无关，所有的流量都被重定向到另一个站点。

51CTO诚邀您9月23号和秒拍/国美/美团元专家一路聊智能CDN的优化之路，抓紧时光哦！

Linux下应用debugfs可以萌芽文件的创建日期。

前情提纲

本文并不是一个具体的取证指南，也不是一个详尽的安然事宜响应手册。写作的目标是想为您供给一些思路，碰着须要处理这类Linux办事器被黑的Case时刻，你应当作何推敲?实施那些行动?须要预备哪些常用的对象?

1. 开端

当治理员第一次发明办事器被入侵后，急速清理了所有发明的恶意文件，修复了重定向的问题，认为一切都已经答复复兴了，直到不久之后办事器再次被入侵。治理员又做了修复工作，此次还更新了体系，在决定将应用法度榜样转移到一台新办事器上之前，他们决定请其他人员检查以下，于是，我就上场了。

摆在我面前的待取证对象是：

• 仍在临盆情况中运行的体系
• 至少遭受了两次入侵
• 治理员进行对体系进行了本质性的修改

这些前提都不算幻想，甚至可以说是不合适的，提前声明：我的目标不是去创造一个合法有效的监测链，而是要做混淆取证，在尽可能的不终端运行中的办事的情况下，进行事宜响应和修复被破坏的器械。我的目标是：

• 肯定体系是否仍然处于危险状况(如不雅是的话，删除或阻拦与此相干的所有内容)
• 检测是否存在被修改的文件，以避免将已被感染文件迁徙到新的办事器上
• 幻想情况下，找出初始的入侵向量，并确保它已被阻拦。

在获得域名、IP和SSH凭证之后，我就开端工作了。

2. 收集证据

在连接到办事器之前，我记录了本身的IP，确保今后可以或许在日记中辨认出它。

然后我经由过程SFTP敕令连接到了办事器上。因为办事器的磁盘已经被加载并且正在运行，是以我无法获得镜像，所以我下载了所有感兴趣的、能获得的日记文件。我拷贝了全部/var/log目次和存储Apache日记文件的特定目次，复制了受损的PHP应用法度榜样，以及在事宜产生后不久所采取的一些备份。不幸的是，第一次被入侵和治理员做出更改之间没有进行体系备份，是以一些关键文件可能已经被修改了。

开启了Kali，针对办事器启动Nmap端口扫描和wpscan扫描。因为办事器运行了一个老旧的WordPress实例，并且这个实例曾履行过恶意的重定向，所以WordPress很可能是入侵的初始点。然而，因为WordPress在被入侵后已经更新过了，wpscan没有在当前的版本中找到任何马脚。Nmap端口扫描的结不雅是开放了FTP，SSH，HTTP和HTTPS端口，这对于一个Web办事器来说有点多余，进击者也可能大年夜个一一项办事进行冲破。然而，治理员的申报里说所有的shell都是在wp-content目次下被发明的，这在某种程度上暗示了进击者可能人侵了WordPress应用法度榜样。

我还应用VirusTotal检采了该站点是否有传播恶意软件的记录，但似乎一切都很好。

别的，有些WordPress插件也是被入侵的目标，须要被检测，不过我不想在已经被破坏的体系上安装额外的插件，所以这一次没有测验测验这种方法，下次可能就会这么做了。

我决定经由过程控制台登录体系。因为不肯定办事器上的二进制文件是否被感染了，所认为了削减影响，我应用了本身的静态链接二进制文件。大年夜BusyBox下载了coreutil二进制文件并上传到办事器上，同时还上传了chkrootkit对象和SLEUTH对象包中的一个名为mac-robber的对象。

用静态二进制文件检查体系，获得运行中的过程和cronjobs等的列表信息，你可以应用

netstat -tulpen 

敕令获得一个监听(TCP和UDP)过程的列表(我没有覆盖所有扫描到的端口，所以获得的输出可能是有趣的)。可以应用

netstat -taupn 

Rootkit检测对象chkrootkit也什么都没发明，应用rkhunter和ClamAV也没有什么收成(这不料味着什么，不幸的是，ClamAV错过了PHP shells和Windows木马)。

我开端手工寻找一些不合平常的事物，但今朝为止一切似乎都很干净：没有不平常的开放端口、没有不平常的过程在运行。我用一个治理员账户验证了FTP和ssh帐户，它们看起来不错。在这个层面上似乎没有入侵的迹象。

mac-robber对象赞助我收集了办事器上创建和修改的文件的信息(稍后可被用于创建事宜的时光线)：

如今，我发清楚明了：

• 办事器上被创建的文件及时光的信息
• 各类日记文件，个中包含Apache日记
• 被入侵的网站一些元代吧，包含一些(被修悛改的)shell文件
• 第一次和第二次被入侵之间的备份

总的来说，还算有所收成。当然，您可能认为这些日记数据不克不及被信赖，因为它们可能被进击者修悛改了。但我却没有来由等待进击会这么复杂。

3. 深度检查

治理员已经肯定了一些被进击者上传的webshells文件。我开端检查这些文件，发来岁夜部分文件的名字都比较隐蔽，如Xjrop.php，Nwfqx.php或Rwchn7.php(首字母都是大年夜写的)，这些文件是完全雷同的，分散在正常的应用法度榜样文件之间。然而有一个名为up.php的文件，与上述几个文件的源代码不合，功能也稍有差别。可以应用diff敕令比较两个文件：

diff Xjrop.php Nwfqx.php 
	
			
 1/4    1 2 3 4 下一页 尾页
	
			

　　推荐阅读
　　给Android开发者的31个Pro 版进阶小贴士
            51CTO诚邀您9月23号和秒拍/国美/美团元专家一路聊智能CDN的优化之路，抓紧时光哦！
            响应式编程办法能帮你更快地编写交互式应用，并闪开产生活更轻松更有趣。在你成为一名优良的安卓开辟者的>>>详细阅读


本文标题：当PHP服务器被黑客入侵了该怎么办？
地址：http://www.17bianji.com/lsqh/37462.html
 1/2    1