-1

我朋友的网络服务器被黑了,但没有任何问题。这是我每天的福尔摩斯故事:

我朋友的托管服务提供商发送了一封电子邮件,称他们已对他服务器上的所有文件进行了 200 处理,因为他们发现了泄露的 FTP 日志条目。我的朋友从未使用过他的 FTP 访问权限,而是使用某种前端构建工具包来组装他的网站。所以我们不知道 FTP 密码是如何泄露的。现在,该构建工具包生成的文件是静态 HTML 文件,除了一些支持 Flash 包含的 JS 文件外,没有任何动态文件。查看文件,我没有发现任何异常;我们告诉托管服务提供商,他们同意了,再次对所有文件进行 644 处理,网站又恢复了。

这是他们发给我们的日志:

ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PASS (hidden)" 230 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "TYPE I" 200 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "SYST" 215 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PWD" 257 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PWD" 257 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /somecontenfolder" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PASV" 227 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "STOR /somecontenfolder/live_tinc.js" 226 4931
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PASV" 227 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "STOR /somecontenfolder/runActiveContent.js" 226 921
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PWD" 257 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /somecontenfolder/images" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PWD" 257 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /somecontentfolder/images/static" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PWD" 257 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /somecontenfolder/images/dynamic" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PWD" 257 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /somecontenfolder/colorschemes" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PWD" 257 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /somecontentfolder/colorschemes/colorscheme1" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PASV" 227 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "STOR /somecontentfoler/main.css" 226 7363

所以我想出的最好的猜测是:

这个 FTP 帐户确实被黑了,很可能。通过蛮力。发出 FTP 命令的速度肯定指向机器人。该机器人遍历目录,但没有做任何事情/任何损害 - 可能正在寻找此处不存在的 PHP 文件。

在看到和阅读本文时,这里有没有人有类似/其他的见解?也许有类似的经历?

4

1 回答 1

0

如果你问它在做什么,我猜这个机器人没有满足它造成伤害的先决条件。它可能正在寻找任何可能使其进一步访问您的计算机的事物。

于 2014-02-07T08:11:52.117 回答