Взломан сервер

0

1

timestamp	ip	port	asn	geo	region	city	hostname	type	infection	url	agent	cc_ip	cc_port	cc_asn	cc_geo	cc_dns	count	proxy	application	p0f_genre	p0f_detail	machine_name	id	naics	sic	cc_naics	cc_sic	sector	cc_sector	ssl_cipher	family	tag	public_source	asn_name
2017-11-14 19:44:27	185.*.*.*	41896	48716	KZ	ALMATY OBLYSY	ALMATY			locky	/dumper.php	Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36	208.100.26.251	80	32748	US	btcqanoqvtewt.org								0	0	0	0		Communications				SecurityScorecard

Пришел вот такой вот отчет. Из него видно что инфицирован файл dumper.php но файла подобного на сервере нет вообще. Куда копать подскажите пожалуйста

Ссылка

←	Как вырезать часть пути

удалить все файлы кроме последних 70 - скрипт, как?

→

Сделай поиск этого файла по все системе.

Dr_Behaviour
(16.11.17 11:31:16 MSK)

А ты уверен, что это не просто бот, попытавшийся зайти на /dumper.php?

Deleted
(16.11.17 11:47:37 MSK)

Ссылка

а что это за отчет ?

dada ★★★★★
(16.11.17 13:20:26 MSK)

Ссылка

Ответ на: комментарий от Dr_Behaviour 16.11.17 11:31:16 MSK

Ты рассылку спама у себя сначала закрой :D

~~Dron~~ ★★★★★
(16.11.17 13:21:32 MSK)

Ссылка

Эксплоитом часто пишут файл в /tmp, потом запускают его и удаляют. Так что можно глянуть заодно и список открытых дескрипторов, т.е. lsof.

feanor ★★★
(16.11.17 14:18:36 MSK)

Ссылка

Куда копать подскажите пожалуйста

В access.log, чтобы вероятнее всего увидеть 404 статус.

anonymous
(16.11.17 17:36:32 MSK)

Ответ на: комментарий от anonymous 16.11.17 17:36:32 MSK

в access.log нашел записи со статусом 404, кто-то туда ломится

127.0.0.1 127.0.0.1 287 1481 /var/www/akimaty/data/www/site/dumper.php  0 GET 0

кто-то с локалхоста ищет файл дампер.пхп... как определить что за процесс?

badil
(17.11.17 07:09:24 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как вырезать часть пути

Admin

удалить все файлы кроме последних 70 - скрипт, как?

→

Похожие темы