酷!學園

技術討論區 => 系統安全討論版 => 主題作者是: cwin1213 於 2005-05-24 21:43

主題: phpspy 2006
作者: cwin12132005-05-24 21:43
今天我的網站裡面有這個東西,他是在檔案裡面的,檔案名稱為  <sql.php>

不曉得這個對系統有什麼影響,是不是只要刪除就好了

作業系統 : RedHat Enterprise 3 i686
核心版本 : 2.4.21-32.ELsmp
其他軟體 : Apache 1.3.33 / PHP 4.3.11 / MySQL 4.0.24


有使用rkhunter -c跟chkrootkit -q檢查過,下面是訊息

下面是 rkhunter -c 的訊息
代碼: [選擇]
/bin/dmesg [ BAD ]
/bin/egrep [ BAD ]
/bin/fgrep [ BAD ]
/bin/grep [ BAD ]
/bin/kill [ BAD ]
/bin/login [ BAD ]
/bin/mount [ BAD ]
/bin/netstat [ BAD ]
/bin/ps [ BAD ]
/sbin/chkconfig [ BAD ]
/sbin/ifconfig[ BAD ]
/sbin/sysctl [ BAD ]
/sbin/syslogd [ BAD ]
/usr/bin/killall [ BAD ]
/usr/bin/pstree [ BAD ]
/usr/bin/w [ BAD ]
/usr/bin/watch[ BAD ]

這些是看起來有問題的,不過在乾淨的系統上面檢查也同樣是這樣的情形,所以...我不清楚這到底有沒有問題

下面是 chkrootkit -q 的訊息
代碼: [選擇]
warning, got duplicate tcp line.
warning, got bogus unix line.
INFECTED (PORTS:  465)

warning, got duplicate tcp line.  有很多行,找過RedHat的網站,似乎是因為瀏覽網頁才會有這個情形。

不曉得有沒有人知道phpspy 2006對系統有沒有影響 :oops:

下面是在大陸找到軟體的軟體說明(因為軟體我載不下來>"<)
引用
增加在WIN服务器上执行命令/程序的操作
增加在WIN服务器上对注册表的操作
增加在线HTTP代理功能
增加直接下载MYSQL备份文件增加文件名改名
增加了克隆时间和自定义文件时间 2005版登陆要点按钮,这个版本直接回车
删除了几个地方的垃圾多余代码,换更加简练的方式写
修改了他妈的多处细节,更加流氓化


如果有人知道的話可以告訴我嗎?先在這裡謝過 Orz
主題: phpspy 2006
作者: Darkhero2005-05-24 22:58
應該是一種遠端遙控以及遠端管理的東西...
不知道用什麼方式放到你的 web 主機上了....
主題: phpspy 2006
作者: banana2005-06-12 15:10
屬php shell backdoor
刪除前看一下該檔的權限 並搜索從何遭到植入

如果只是做刪除 極有可能再次被植入