Apache 로그에는 위험해 보이는 내가 인식하지 못하는 항목이 있습니다.

tag-icon tag-icon apache-http-server
Apache 로그에는 위험해 보이는 내가 인식하지 못하는 항목이 있습니다.

대역폭을 초과한 후 내 사이트 호스트가 내 계정을 비활성화했습니다. 사이트가 작기 때문에 이것은 이상했습니다. 나는 로그를 조사하기 시작했고 내가 가지고 있지 않은 공통 엔드포인트를 찾으려는 시도를 보는 데 익숙했지만 매우 문제가 되는 몇 가지 사항을 발견했습니다. 첫 번째:

% Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                             Dload  Upload   Total   Spent    Left  Speed
0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0
100 77597  100 77597    0     0   184k      0 --:--:-- --:--:-- --:--:--  246k
--2019-10-13 11:49:21--  ftp://matei:*password*@tyger.ignorelist.com/tst.tgz
       => `tst.tgz'
Resolving tyger.ignorelist.com... 86.121.73.246
Connecting to tyger.ignorelist.com|86.121.73.246|:21... connected.
Logging in as matei ... Logged in!
==> SYST ... done.    ==> PWD ... done.
==> TYPE I ... done.  ==> CWD not needed.
==> SIZE tst.tgz ... 21765
==> PASV ... done.    ==> RETR tst.tgz ... done.

 0K .......... .......... .                                53.3K=0.4s

2019-10-13 11:49:23 (53.3 KB/s) - `tst.tgz' saved [21765]

그리고

나는 이런 것들을 본 적이 없습니다. 아무래도 제가 어떤 식으로든 장악당한 것 같아요. 어떻게 해결하나요?

curl: (7) couldn't connect to host

curl: (7) couldn't connect to host
Can't open perl script "bot.pl": No such file or directory
Can't open perl script "bot.pl": No such file or directory
sh: GET: command not found
sh: GET: command not found
--2019-10-15 22:14:04--  ftp://94.177.240.65/bot.pl
       => `bot.pl'
Connecting to 94.177.240.65:21... --2019-10-15 22:14:04--  
ftp://94.177.240.65/bot.pl
       => `bot.pl'
Connecting to 94.177.240.65:21... failed: Connection refused.
failed: Connection refused.

답변1

Linux 시스템이 Apache 서비스를 통해 손상된 것 같습니다.

어떻게 해결하나요?

잠재적인 침해가 있는지 전체 시스템을 조사해야 하므로 간단한 해결 방법은 없습니다.

다음은 몇 가지 일반적인 제안 사항입니다.

  • Apache를 최신 버전으로 업그레이드합니다(를 통해 apt-get).
  • 모든 패키지를 업그레이드하십시오( sudo apt-get update).
  • 사용 중인 모든 웹 CMS/프레임워크를 업그레이드하세요(알려진 취약점이 있는지 확인하세요).
  • 기존 취약점(예: 맬웨어 스캐너, 바이러스 백신)이 있는지 전체 시스템을 검사하십시오.
  • 모든 웹사이트에서 맬웨어 및 쉘코드 파일을 검사하세요.

  • PHP를 사용하는 경우:

  • 공유 호스팅을 사용하는 경우 호스팅 회사에 문의하세요.
  • /etc/users예상치 못한 추가 사용자( ) 또는 파일(예: )이 있는지 시스템을 확인하십시오 /tmp.

  • 위반 사항을 확인한 경우:

    • 노출된 모든 자격 증명(액세스 키, 비밀번호 등)을 변경합니다.
    • 필요할 경우를 대비해 모든 증거(IP 주소, 로그, 감염/맬웨어 파일)를 저장하세요.
  • 시스템을 패치한 후에는 추가로 의심스러운 활동이 있는지 로그를 계속 모니터링하세요.

위 내용에 대해 확신이 없다면 해당 분야 전문 IT 회사에 문의하세요.

또한보십시오:

관련 정보