有没有办法查看FTP是否是由PHP启动的？

Question

我的web服务器受到攻击，.html文件被复制到一个公共html目录中。

FTP密码非常强。

我试图确定PHP是否启动了FTP传输。是否有Apache或Nix日志文件可以提供这些信息？

附加信息我有日志条目，这些条目似乎显示不同的IP被用来登录和复制文件。我不确定，但是呢？在IP之前，除了它不是帐户用户(在本例中是王国)之外？它看起来像几个不同的in记录-每个拷贝不同的文件-所有的空间不到30秒。违规文件是"mickey66.html“、"mickey66.jpg”和"canopy37.html“。

2010-06-17T21:24:02.073070+01:00webserver纯-ftpd：(?@190.20.76.74)

2010-06-17T21:24:06.632472+01:00webserver纯-ftpd：(?@77.250.141.158)

2010-06-17T21:24:07.216924+01:00webserver纯-ftpd：(王国@77.250.141.158)公告/home/王国//public_html/mickey66.html上载(80字节，0.26KB/秒)

2010-06-17T21:24:07.364313+01:00webserver纯-ftpd：(王国@77.250.141.158) INFO Logout。

2010-06-17T21:24:08.711231+01:00 webserver纯-ftpd：(?@78.88.175.77)

2010-06-17T21:24:10.720315+01:00webserver纯-ftpd：(王国@78.88.175.77)公告/home/王国//public_html/mickey66.jpg上传(40835字节，35.90KB/秒)

2010-06-17T21:24:10.848782+01:00webserver纯-ftpd：(王国@78.88.175.77) INFO Logout。

2010-06-17T21:24:18.528074+01:00webserver纯-ftpd：(王国@190.20.76.74) INFO Logout。

2010-06-17T21:24:22.023673+01:00 webserver纯-ftpd：(?@85.130.254.227)信息王国现在登录

2010-06-17T21:24:23.470817+01:00webserver纯-ftpd：(王国@85.130.254.227)公告/home/王国//public_html/mickey66.html上载(80字节，0.38 80/秒)

2010-06-17T21:24:23.655023+01:00webserver纯-ftpd：(王国@85.130.254.227) INFO Logout。

2010-06-17T21:24:26.249887+01:00webserver纯ftpd：(?@95.209.254.137)

2010-06-17T21:24:28.461310+01:00webserver纯-ftpd：(王国@95.209.254.137)公告/home/王国//public_html/canopy37.html上载(80字节，0.26KB/秒)

2010-06-17T21:24:28.760513+01:00webserver纯-ftpd：(王国@95.209.254.137) INFO Logout。

Answer 1

--我的web服务器受到攻击，.html文件被复制到一个公共html目录中。

你怎么知道它们是通过FTP复制的？

的FTP密码非常强。

不太相关。FTP发送未加密的密码-因此，即使假设文件是通过FTP传递的，如果密码被嗅到，它有多大的熵。

--我正试图确定PHP是否启动了FTP传输

你看不出那个客户是什么。即使像HTTP一样，协议提供了用于收集有关用户代理的信息，也无法确定这些信息的准确性(它是由客户端发送的，因此可以由客户端操作)。

您的FTP服务器日志应该记录了哪些IP地址/用户帐户上载了哪些文件以及何时上载的详细信息。但是，如果里面没有任何相关的东西，不要感到惊讶。

结果表明，C.

Answer 2

您的工作站上可能有运行FTP客户端的恶意软件。恶意软件必须窃取您的FTP客户端的密码，并将其发送给第三方。

这事发生在我们身上。我们所有的登陆页面都注入了恶意代码/ iframe-url代码，这些代码将在浏览器中打开页面的所有机器上下载此恶意软件。

Answer 3

据我所知，FTP协议没有用户代理头或任何类似的内容.即使有恶意软件，为什么恶意软件作者会添加代码来积极识别他们的软件为恶意软件呢？另外，为什么要阻止像PHP这样的脚本工具的合法使用呢？

这类攻击通常有两个来源：

• 易受攻击的脚本托管在公共web服务器
• 托管客户端中，这些客户端使其个人计算机受到了

的损害。

如果您似乎建议-您实际上有FTP日志，以证明这些文件是通过FTP上传使用您的凭据，您可能有IP地址的文件来自。检查是否是你的地址，在任何情况下，拿一个好的病毒扫描器。