推荐书目
› 高性能网站建设进阶指南
› High Performance Web Sites
› Google Hacks: Tips & Tools for Finding and Using the World's Information
关于 Google SEO 最好的一本书
› High Performance Web Sites
› Google Hacks: Tips & Tools for Finding and Using the World's Information
关于 Google SEO 最好的一本书
这是一个创建于 370 天前的主题,其中的信息可能已经有所发展或是发生改变。
事情是这样的,前两天朋友新家入伙,饭都没吃两口,接到一个电话:“我是 XX 公.安.局的,你是不是有个 xxx 的网站?你这个网站中病毒了,有木马,你在哪里,赶紧回来。”
回来路上,我就想,虽然那个网站不经常管,但是程序、运行环境什么的都是会更新到最新版本,每天都上网,如果有什么高危漏洞还是应该知道的(好多个站长群)。
服务器用的是 Debian ,运行环境是:Nginx 1.22.1 、MySQL 5.7.44 、PHP-7.4.33 ,网站采用 WordPress 程序。
然后我就打的回到家中,好家伙,四个 js 叔叔,其中两个装着工作服(应该的片警),还有两个应该是网安大队的。
到家后叫我打开电脑,进入网站服务器,说我网站根目录有一个木马文件,它会跳转到 sq 、bc 类的非法网站。
叫搜索一个文件:mscorvsevts.dll
等等,.dll 后缀?我的服务器是 Linux 的啊,.dll 不是 Windows 文件么?
一听到.dll 文件我就放心了...刚开始真的有点慌。
然后搜索了也没有那个所谓的 mscorvsevts.dll 木马文件。
就算有,它也不能运行啊。
然后他们就走了,走之前给我普及了一下网络安全法、公民有义务配合他们的工作。
那么现在我就有点纳闷了,为什么他们会说我网站跟目录有一个 mscorvsevts.dll 木马文件?
难道他们的检测系统误报?检测系统检测不到网站用的是什么系统服务器跟运行环境?
他们来的目的是什么?
回来路上,我就想,虽然那个网站不经常管,但是程序、运行环境什么的都是会更新到最新版本,每天都上网,如果有什么高危漏洞还是应该知道的(好多个站长群)。
服务器用的是 Debian ,运行环境是:Nginx 1.22.1 、MySQL 5.7.44 、PHP-7.4.33 ,网站采用 WordPress 程序。
然后我就打的回到家中,好家伙,四个 js 叔叔,其中两个装着工作服(应该的片警),还有两个应该是网安大队的。
到家后叫我打开电脑,进入网站服务器,说我网站根目录有一个木马文件,它会跳转到 sq 、bc 类的非法网站。
叫搜索一个文件:mscorvsevts.dll
等等,.dll 后缀?我的服务器是 Linux 的啊,.dll 不是 Windows 文件么?
一听到.dll 文件我就放心了...刚开始真的有点慌。
然后搜索了也没有那个所谓的 mscorvsevts.dll 木马文件。
就算有,它也不能运行啊。
然后他们就走了,走之前给我普及了一下网络安全法、公民有义务配合他们的工作。
那么现在我就有点纳闷了,为什么他们会说我网站跟目录有一个 mscorvsevts.dll 木马文件?
难道他们的检测系统误报?检测系统检测不到网站用的是什么系统服务器跟运行环境?
他们来的目的是什么?
 |
1
lingxmo 2024-02-02 18:54:55 +08:00  1
一般没这么闲的吧,还上门服务
|
 |
2
y1y1 2024-02-02 19:07:28 +08:00 5
“公民有义务配合他们的工作”,一不小心成公民了擦
|
 |
4
python35 2024-02-02 19:14:56 +08:00
话说为啥会有 dll ,自己上传的还是被入侵了,被入侵的话,下次上传的就不是 dll 了( doge
|
 |
5
0o0O0o0O0o 2024-02-02 19:21:18 +08:00 via iPhone 3
> 服务器是 Linux 的啊,.dll 不是 Windows 文件么?
> 一听到.dll 文件我就放心了...刚开始真的有点慌。 > 然后搜索了也没有那个所谓的 mscorvsevts.dll 木马文件。 > 就算有,它也不能运行啊。 不揣测动机,只评价这部分:我觉得你的放心有点依据不足,后缀是什么和能不能运行有没有害毫无关系,例如结合文件名和后缀你可以参考 dotnet 应用;何况木马病毒本身就经常是反常规的东西,表现成什么样都不奇怪;常规方案搜不到不代表没在运行,例如 fireELF |
 |
6
miaomiao888 2024-02-02 19:23:54 +08:00
如果是国内服务器不都是直接让厂商关站么,怎么还需要上门?
文件后缀并不说明什么,好像是可以伪装运行。 |
 |
7
duoduo1x OP 没有那个文件
|
 |
8
yzding 2024-02-02 20:54:42 +08:00 via iPhone
Linux 后缀名和文件是什么没有必然联系
|
 |
9
pppguest3962 2024-02-02 21:51:38 +08:00
很明显他们搞错了,找了台阶下了,OP 是清楚的,他们更清楚。
|
 |
10
kernelpanic 2024-02-02 22:14:16 +08:00 1
linux 上的可执行文件就算后缀改成.txt 也能执行
|
 |
11
orzorzorzorz 2024-02-02 23:03:14 +08:00
复盘的时候应该先确认打给你的电话是谁的,以及围观你的叔叔们是住在 B 站的还是公安局的,是真的才能继续往下想啊。
|
 |
12
slack 2024-02-03 10:14:20 +08:00 via Android
会不会是年末 KPI ,有枣没枣打一杆
|
|
13
duoduo1x OP @orzorzorzorz 他们叫我老婆给我打的电话,确实是衙门的,有 jc 、工作服、记录仪、证件。
|
Select Language