找出發送SPAM的server檔案

server 被hack 好難避免,所以要成日查看日誌,如果你見到mail log 發送了成萬封mail,好明顯有問題,大部分被植入木馬。例如joomla, wordpress 這些系統經常被人植入,要尋找發送SPAM的檔案,如果靠FTP,就只能一個個檔案開,如果你有Root權限,那麼就可以入SHH進入搜索。

grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F”cwd=” ‘{print $2}’ | awk ‘{print $1}’ | sort | uniq -c | sort -n

上面指令能夠搜索到一些使用mail script 的位置,有了位置就可以使用ftp 入去看看是否被人種了外掛。如果是就檔案刪除。

不過建議都是要安裝防毒軟件和經常看日誌。

詳細資料看這裡

wordpress joomla 被黑如何處理

最近有幾個朋友網站被goolge 列為病毒網站,也就是顯示紅色有害,進入伺服器裡面查看發現不斷發送郵件。雖然首頁看起來沒有什麼問題,但其實已經被黑了。

首先看首頁index.php,已經被加入了一大堆base64 decode 的東西

code64

就算你更改刪除了上面的東西,隔一陣子文件又會被加入,因為病毒文件已經散佈在很多個文件之中,還會不斷更改和製造其他病毒文件,如何查找出來呢?有幾個很好的指令command line 可以用:

可以用putty 進入主目錄,然後輸入

grep –include=\*.php -rnw -e “64_decode”

grep –include=\*.php -rnw -e “GLOBALS\[“

 

是因為病毒文件很多都有eval(base64_decode 這個function,全部搜索一下,然後每個都打開來看看,很容易找出大部分病毒文件

還有一個指令,雖然沒什麼大用處,不過可以將文件按日期排列,找出最近更新過的文件

find . -printf “%T@ %Tc %p\n” | sort -n

記得再看看.htaccess 文件是否被更改,因為這個文件可以更改網頁瀏覽目錄