V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
duoduo1x
V2EX  ›  站长

Linux 服务器有.dll 木马?

  •  
  •   duoduo1x · 328 天前 · 1753 次点击
    这是一个创建于 328 天前的主题,其中的信息可能已经有所发展或是发生改变。
    事情是这样的,前两天朋友新家入伙,饭都没吃两口,接到一个电话:“我是 XX 公.安.局的,你是不是有个 xxx 的网站?你这个网站中病毒了,有木马,你在哪里,赶紧回来。”

    回来路上,我就想,虽然那个网站不经常管,但是程序、运行环境什么的都是会更新到最新版本,每天都上网,如果有什么高危漏洞还是应该知道的(好多个站长群)。

    服务器用的是 Debian ,运行环境是:Nginx 1.22.1 、MySQL 5.7.44 、PHP-7.4.33 ,网站采用 WordPress 程序。

    然后我就打的回到家中,好家伙,四个 js 叔叔,其中两个装着工作服(应该的片警),还有两个应该是网安大队的。

    到家后叫我打开电脑,进入网站服务器,说我网站根目录有一个木马文件,它会跳转到 sq 、bc 类的非法网站。


    叫搜索一个文件:mscorvsevts.dll

    等等,.dll 后缀?我的服务器是 Linux 的啊,.dll 不是 Windows 文件么?

    一听到.dll 文件我就放心了...刚开始真的有点慌。

    然后搜索了也没有那个所谓的 mscorvsevts.dll 木马文件。

    就算有,它也不能运行啊。

    然后他们就走了,走之前给我普及了一下网络安全法、公民有义务配合他们的工作。


    那么现在我就有点纳闷了,为什么他们会说我网站跟目录有一个 mscorvsevts.dll 木马文件?

    难道他们的检测系统误报?检测系统检测不到网站用的是什么系统服务器跟运行环境?

    他们来的目的是什么?
    13 条回复    2024-02-03 12:33:40 +08:00
    lingxmo
        1
    lingxmo  
       328 天前   ❤️ 1
    一般没这么闲的吧,还上门服务
    y1y1
        2
    y1y1  
       328 天前   ❤️ 5
    “公民有义务配合他们的工作”,一不小心成公民了擦
    duoduo1x
        3
    duoduo1x  
    OP
       328 天前
    @lingxmo 就是上门啊
    python35
        4
    python35  
       328 天前
    话说为啥会有 dll ,自己上传的还是被入侵了,被入侵的话,下次上传的就不是 dll 了( doge
    0o0O0o0O0o
        5
    0o0O0o0O0o  
       328 天前 via iPhone   ❤️ 3
    > 服务器是 Linux 的啊,.dll 不是 Windows 文件么?
    > 一听到.dll 文件我就放心了...刚开始真的有点慌。
    > 然后搜索了也没有那个所谓的 mscorvsevts.dll 木马文件。
    > 就算有,它也不能运行啊。

    不揣测动机,只评价这部分:我觉得你的放心有点依据不足,后缀是什么和能不能运行有没有害毫无关系,例如结合文件名和后缀你可以参考 dotnet 应用;何况木马病毒本身就经常是反常规的东西,表现成什么样都不奇怪;常规方案搜不到不代表没在运行,例如 fireELF
    miaomiao888
        6
    miaomiao888  
       328 天前
    如果是国内服务器不都是直接让厂商关站么,怎么还需要上门?
    文件后缀并不说明什么,好像是可以伪装运行。
    duoduo1x
        7
    duoduo1x  
    OP
       328 天前
    没有那个文件
    yzding
        8
    yzding  
       328 天前 via iPhone
    Linux 后缀名和文件是什么没有必然联系
    pppguest3962
        9
    pppguest3962  
       328 天前
    很明显他们搞错了,找了台阶下了,OP 是清楚的,他们更清楚。
    kernelpanic
        10
    kernelpanic  
       328 天前   ❤️ 1
    linux 上的可执行文件就算后缀改成.txt 也能执行
    orzorzorzorz
        11
    orzorzorzorz  
       328 天前
    复盘的时候应该先确认打给你的电话是谁的,以及围观你的叔叔们是住在 B 站的还是公安局的,是真的才能继续往下想啊。
    slack
        12
    slack  
       327 天前 via Android
    会不会是年末 KPI ,有枣没枣打一杆
    duoduo1x
        13
    duoduo1x  
    OP
       327 天前
    @orzorzorzorz 他们叫我老婆给我打的电话,确实是衙门的,有 jc 、工作服、记录仪、证件。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1006 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 22:20 · PVG 06:20 · LAX 14:20 · JFK 17:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.