Linux 服务器有.dll 木马？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

推荐书目

› 高性能网站建设进阶指南

› High Performance Web Sites

› Google Hacks: Tips & Tools for Finding and Using the World's Information

关于 Google SEO 最好的一本书

这是一个创建于 85 天前的主题，其中的信息可能已经有所发展或是发生改变。

事情是这样的，前两天朋友新家入伙，饭都没吃两口，接到一个电话：“我是 XX 公.安.局的，你是不是有个 xxx 的网站？你这个网站中病毒了，有木马，你在哪里，赶紧回来。”

回来路上，我就想，虽然那个网站不经常管，但是程序、运行环境什么的都是会更新到最新版本，每天都上网，如果有什么高危漏洞还是应该知道的（好多个站长群）。

服务器用的是 Debian ，运行环境是：Nginx 1.22.1 、MySQL 5.7.44 、PHP-7.4.33 ，网站采用 WordPress 程序。

然后我就打的回到家中，好家伙，四个 js 叔叔，其中两个装着工作服（应该的片警），还有两个应该是网安大队的。

到家后叫我打开电脑，进入网站服务器，说我网站根目录有一个木马文件，它会跳转到 sq 、bc 类的非法网站。

叫搜索一个文件：mscorvsevts.dll

等等，.dll 后缀？我的服务器是 Linux 的啊，.dll 不是 Windows 文件么？

一听到.dll 文件我就放心了...刚开始真的有点慌。

然后搜索了也没有那个所谓的 mscorvsevts.dll 木马文件。

就算有，它也不能运行啊。

然后他们就走了，走之前给我普及了一下网络安全法、公民有义务配合他们的工作。

那么现在我就有点纳闷了，为什么他们会说我网站跟目录有一个 mscorvsevts.dll 木马文件？

难道他们的检测系统误报？检测系统检测不到网站用的是什么系统服务器跟运行环境？

他们来的目的是什么？

dll

木马

网站

文件

13 条回复 • 2024-02-03 12:33:40 +08:00

lingxmo

85 天前

一般没这么闲的吧，还上门服务

y1y1

85 天前

“公民有义务配合他们的工作”，一不小心成公民了擦

duoduo1x

85 天前

@lingxmo 就是上门啊

python35

85 天前

话说为啥会有 dll ，自己上传的还是被入侵了，被入侵的话，下次上传的就不是 dll 了（ doge

0o0O0o0O0o

85 天前 via iPhone

> 服务器是 Linux 的啊，.dll 不是 Windows 文件么？
> 一听到.dll 文件我就放心了...刚开始真的有点慌。
> 然后搜索了也没有那个所谓的 mscorvsevts.dll 木马文件。
> 就算有，它也不能运行啊。

不揣测动机，只评价这部分：我觉得你的放心有点依据不足，后缀是什么和能不能运行有没有害毫无关系，例如结合文件名和后缀你可以参考 dotnet 应用；何况木马病毒本身就经常是反常规的东西，表现成什么样都不奇怪；常规方案搜不到不代表没在运行，例如 fireELF