Linux 服务器有.dll 木马?

327 天前
 duoduo1x
事情是这样的,前两天朋友新家入伙,饭都没吃两口,接到一个电话:“我是 XX 公.安.局的,你是不是有个 xxx 的网站?你这个网站中病毒了,有木马,你在哪里,赶紧回来。”

回来路上,我就想,虽然那个网站不经常管,但是程序、运行环境什么的都是会更新到最新版本,每天都上网,如果有什么高危漏洞还是应该知道的(好多个站长群)。

服务器用的是 Debian ,运行环境是:Nginx 1.22.1 、MySQL 5.7.44 、PHP-7.4.33 ,网站采用 WordPress 程序。

然后我就打的回到家中,好家伙,四个 js 叔叔,其中两个装着工作服(应该的片警),还有两个应该是网安大队的。

到家后叫我打开电脑,进入网站服务器,说我网站根目录有一个木马文件,它会跳转到 sq 、bc 类的非法网站。


叫搜索一个文件:mscorvsevts.dll

等等,.dll 后缀?我的服务器是 Linux 的啊,.dll 不是 Windows 文件么?

一听到.dll 文件我就放心了...刚开始真的有点慌。

然后搜索了也没有那个所谓的 mscorvsevts.dll 木马文件。

就算有,它也不能运行啊。

然后他们就走了,走之前给我普及了一下网络安全法、公民有义务配合他们的工作。


那么现在我就有点纳闷了,为什么他们会说我网站跟目录有一个 mscorvsevts.dll 木马文件?

难道他们的检测系统误报?检测系统检测不到网站用的是什么系统服务器跟运行环境?

他们来的目的是什么?
1751 次点击
所在节点    站长
13 条回复
lingxmo
327 天前
一般没这么闲的吧,还上门服务
y1y1
327 天前
“公民有义务配合他们的工作”,一不小心成公民了擦
duoduo1x
327 天前
@lingxmo 就是上门啊
python35
327 天前
话说为啥会有 dll ,自己上传的还是被入侵了,被入侵的话,下次上传的就不是 dll 了( doge
0o0O0o0O0o
327 天前
> 服务器是 Linux 的啊,.dll 不是 Windows 文件么?
> 一听到.dll 文件我就放心了...刚开始真的有点慌。
> 然后搜索了也没有那个所谓的 mscorvsevts.dll 木马文件。
> 就算有,它也不能运行啊。

不揣测动机,只评价这部分:我觉得你的放心有点依据不足,后缀是什么和能不能运行有没有害毫无关系,例如结合文件名和后缀你可以参考 dotnet 应用;何况木马病毒本身就经常是反常规的东西,表现成什么样都不奇怪;常规方案搜不到不代表没在运行,例如 fireELF
miaomiao888
327 天前
如果是国内服务器不都是直接让厂商关站么,怎么还需要上门?
文件后缀并不说明什么,好像是可以伪装运行。
duoduo1x
327 天前
没有那个文件
yzding
327 天前
Linux 后缀名和文件是什么没有必然联系
pppguest3962
327 天前
很明显他们搞错了,找了台阶下了,OP 是清楚的,他们更清楚。
kernelpanic
327 天前
linux 上的可执行文件就算后缀改成.txt 也能执行
orzorzorzorz
327 天前
复盘的时候应该先确认打给你的电话是谁的,以及围观你的叔叔们是住在 B 站的还是公安局的,是真的才能继续往下想啊。
slack
327 天前
会不会是年末 KPI ,有枣没枣打一杆
duoduo1x
327 天前
@orzorzorzorz 他们叫我老婆给我打的电话,确实是衙门的,有 jc 、工作服、记录仪、证件。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1013739

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX