Encontre um script que escreve em / var / tmp [duplicado]

1

Descubro que uma das minhas partições estava cheia.

rootfs                 20G  1,8G   17G  10% /
/dev/root              20G  1,8G   17G  10% /
devtmpfs              7,8G  184K  7,8G   1% /dev
none                  7,8G     0  7,8G   0% /dev/shm
none                  7,8G  600K  7,8G   1% /var/run
none                  7,8G     0  7,8G   0% /var/lock
none                  7,8G     0  7,8G   0% /lib/init/rw
/dev/md3              1,8T  1,6T  177G  90% /var
none                  7,8G  600K  7,8G   1% /var/run
none                  7,8G     0  7,8G   0% /var/lock

Com alguns du -sh * | sort -n recursivos, descubro que meu /var/tmp tem 2 pastas que pertencem a www-data

root@ns384990:/var/tmp# ls -la
total 76
drwxr-xr-x  2 www-data www-data 36864 2014-10-27 00:11  .. 
drwxrwxrwt  4 root     root      4096 2014-10-29 06:30 .
drwxr-xr-x  2 www-data www-data 32768 2014-10-01 18:40 . .. 
drwxr-xr-x 21 root     root      4096 2013-07-23 11:49 ..

Eu vou para a pasta .. cd ' .. ' (yeah, 2 fcking escape ... eu estava louco porque eu não vejo a segunda fuga e leva horas para encontrá-la)

E aqui o que eu entro ... Séries e filmes de Severals

root@ns384990:/var/tmp/ .. # ls -la
total 1580112096
drwxr-xr-x 2 www-data www-data       36864 2014-10-27 00:11 .
drwxrwxrwt 4 root     root            4096 2014-10-29 06:30 ..
-rw-r--r-- 1 www-data www-data   644663385 2014-10-18 18:05 10.Things.You.Dont.Know.About.S01E02.Abraham.Lincoln.720p.HDTV.x264-DHD.mkv
-rw-r--r-- 1 www-data www-data   634213806 2014-10-24 09:44 10.Things.You.Dont.Know.About.S01E05.The.OK.Corral.720p.HDTV.x264-DHD.mkv
-rw-r--r-- 1 www-data www-data  4743372800 2014-09-19 01:41 21.2008.BluRay.720p.x264-WiKi.tar

... 1,5 Para filmes e séries enviados "não sei como" e estocados no meu / var / tmp

Como posso encontrar o script permite escrever isso? Quais são os arquivos ou comandos de registros que eu posso usar para rastrear o que aconteceu?

aqui está minha informação do sistema operacional:

Linux ns384990.ovh.net 3.8.13-xxxx-std-ipv6-64 # 3 SMP Sex Mai 31 13:14:59 CEST 2013 x86_64 GNU / Linux Ubuntu 10.04.2 LTS

Bem vindo ao Ubuntu!  * Documentação: link Ubuntu 10.04.2 LTS

** EDIT 1: Acabei de encontrar o script: **

** link removido, pois contém malware ** (muito longo para colocá-lo aqui)

    
por Raphaël 29.10.2014 / 12:33

1 resposta

1

Não é questionável qual script foi usado para fazer esses uploads; pergunta é qual vulnerabilidade foi usada para criar o script que foi usado para fazer esses uploads.

Você pode acessar os registros de acesso do Apache e tentar correlacionar os carimbos de data / hora de criação desses arquivos com solicitações HTTP feitas.

Além disso, eu recomendo dar uma olhada no endurecimento de seu open_basedir opção. Quais tipos de sites você executa? Tente procurar por arquivos php estranhos de propriedade do usuário www-like, como

find / -type f -iname '*.php*' -user www-data

Outro truque frequentemente usado é definir AddHandler ou AddType in .htaccess para analisar extensões não php como código php. Então você pode querer rever todos os arquivos .htaccess em seu sistema para essas correspondências e se houver alguma extensão estranha mapeada para rodar como código php examine arquivos com tais extensões também.

    
por 29.10.2014 / 12:53