我的网络服务器遭到攻击,其中.html文件被FTP复制到公共html目录。
FTP密码非常强大。
我正在尝试确定PHP是否启动了FTP传输。是否有可以提供此信息的Apache或Nix日志文件?
其他信息 我有FTP日志条目,似乎显示不同的IP用于登录和复制文件。我不确定但是确实如此?在IP之前指示除了它不是帐户用户(在这种情况下是王国)?它看起来像记录了几个不同的IP - 每个IP都复制一个不同的文件 - 所有这些都在不到30秒的时间内完成。违规文件是“mickey66.html”,“mickey66.jpg”和“canopy37.html”。
2010-06-17T21:24:02.073070 + 01:00 webserver pure-ftpd :(?@ 190.20.76.74)[INFO]王国现已登录
2010-06-17T21:24:06.632472 + 01:00 webserver pure-ftpd :(?@ 77.250.141.158)[INFO]王国现已登录
2010-06-17T21:24:07.216924 + 01:00 webserver pure-ftpd :( kingdom@77.250.141.158)[NOTICE] /home/kingdom//public_html/mickey66.html上传(80字节,0.26KB /秒)
2010-06-17T21:24:07.364313 + 01:00 webserver pure-ftpd:(kingdom@77.250.141.158)[INFO]退出。
2010-06-17T21:24:08.711231 + 01:00 webserver pure-ftpd :(?@ 78.88.175.77)[INFO]王国现已登录
2010-06-17T21:24:10.720315 + 01:00 webserver pure-ftpd :( kingdom@78.88.175.77)[NOTICE] /home/kingdom//public_html/mickey66.jpg上传(40835字节,35.90KB /秒)
2010-06-17T21:24:10.848782 + 01:00 webserver pure-ftpd:(kingdom@78.88.175.77)[INFO]退出。
2010-06-17T21:24:18.528074 + 01:00 webserver pure-ftpd:(kingdom@190.20.76.74)[INFO]退出。
2010-06-17T21:24:22.023673 + 01:00 webserver pure-ftpd :(?@ 85.130.254.227)[INFO]王国现已登录
2010-06-17T21:24:23.470817 + 01:00 webserver pure-ftpd :( kingdom@85.130.254.227)[NOTICE] /home/kingdom//public_html/mickey66.html上传(80字节,0.38KB /秒)
2010-06-17T21:24:23.655023 + 01:00 webserver pure-ftpd:(kingdom@85.130.254.227)[INFO]退出。
2010-06-17T21:24:26.249887 + 01:00 webserver pure-ftpd:(?@ 95.209.254.137)[INFO]王国现已登录
2010-06-17T21:24:28.461310 + 01:00 webserver pure-ftpd :( kingdom@95.209.254.137)[NOTICE] /home/kingdom//public_html/canopy37.html上传(80字节,0.26KB /秒)
2010-06-17T21:24:28.760513 + 01:00 webserver pure-ftpd:(kingdom@95.209.254.137)[INFO]退出。
答案 0 :(得分:2)
您的工作站上可能存在运行FTP客户端的恶意软件。恶意软件必须从您的FTP客户端窃取密码并将其发送给某些第三方。
这发生在我们身上。我们所有的目标网页都注入了恶意代码/ iframe-url代码,这些代码会在浏览器中打开该页面的所有计算机上下载此恶意软件。
答案 1 :(得分:1)
我的网络服务器遭到攻击,其中.html文件被FTP复制到公共html目录。
你怎么知道他们是通过FTP复制的?
FTP密码非常强大。
不太相关。 FTP发送未加密的密码 - 所以即使假设文件是通过FTP传送的,如果密码被嗅到,那么它的熵就无关紧要了。
我正在尝试确定PHP是否启动了FTP传输
你不知道客户是什么。即使像HTTP一样,提供用于收集用户代理信息的协议,也无法确定此信息的准确性(它由客户端发送,因此可以由客户端操纵)。
您的FTP服务器日志应该记录了哪些IP地址/用户帐户上传了哪些文件以及何时上传的详细信息。但如果没有任何相关内容,请不要感到惊讶。
下进行。
答案 2 :(得分:1)
据我所知,FTP协议没有User-Agent标头或类似的东西。即使它已经这样,为什么恶意软件编写者会添加代码来主动将其软件识别为恶意软件?而且,为什么要阻止合法使用像PHP这样的脚本工具?
这类攻击通常来自两个方面:
如果您似乎建议 - 您实际上有FTP日志来证明这些文件是使用您的凭据通过FTP上传的,那么您可能拥有文件来自的IP地址。检查它是否是您的地址,并且无论如何都要抓住一台好的病毒扫描程序。