Как найти, кто выполняет вредоносную деятельность на сервере общего хостинга
Я являюсь провайдером общего веб-хостинга, я получил жалобу: * ЖАЛОБА *
| *.*(server shared ip) | 2011-09-17 20:02:12 | jakarta.dreamhost.com | 1807770 | oscommerce remote upload from 'categories.php' |
| *.*(server shared ip) | 2011-09-17 19:42:51 | claudus.dreamhost.com | 1798150 | e107 BBCode Arbitrary PHP Code Execution Vulnerability |
| *.*(server shared ip) | 2011-09-17 19:54:54 | djibouti.dreamhost.com | 1800723 | e107 BBCode Arbitrary PHP Code Execution Vulnerability |
| *.*(server shared ip) | 2011-09-17 19:50:18 | fernandes.dreamhost.com | 1802863 | oscommerce remote upload from 'categories.php' |
| *.*(server shared ip) | 2011-09-17 19:53:32 | andromeda.dreamhost.com | 1791213 | e107 BBCode Arbitrary PHP Code Execution Vulnerability |
| *.*(server shared ip) | 2011-09-17 19:54:17 | pictor.dreamhost.com | 1814763 | oscommerce remote upload from 'categories.php' |
| *.*(server shared ip) | 2011-09-17 19:54:54 | telescopium.dreamhost.com | 1819732 | e107 BBCode Arbitrary PHP Code Execution Vulnerability
Поскольку IP-адрес является общим, любой здесь может помочь мне, как найти, какой пользователь сделал это?
мой сервер Centos с cpanel WHM
Есть ли способ определить, какой сценарий сделал это? или есть ли способ просмотреть историю соединений tcp, чтобы определить, какие сценарии имеют соединение с целевым IP?
2 ответа
Если сценарии PHP запускаются с вашего веб-сервера (в отличие от командной строки, что также возможно), вы должны найти соответствующую информацию в файлах журналов для веб-сервера.
Сделайте резервную копию образа сервера (если это виртуальная машина, это легко сделать). Сохраняйте и анализируйте ваши логи apache, messages, auth, ftp. Проверяйте логины как раз перед временем в логах. Поиск файлов / скриптов с atime в тот же день или после.