我有一个用于testing的CentOS云服务器,注意到在过去的30天里,带宽已经到了顶峰(精确到16,000 GB )
当我最初尝试检查服务器时,它是完全无法访问的(SSH,web, 甚至控制台都没有响应(控制台只显示了一堆错误,没有login提示)
我退回了服务器,并开始通过日志和login。 年龄没有SSHlogin,除了每分钟都没有什么奇怪的日志:
Jan 17 02:20:01 wwwdev crond[21971]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1) Jan 17 02:21:01 wwwdev crond[21976]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1) Jan 17 02:22:01 wwwdev crond[21985]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1) Jan 17 02:23:01 wwwdev crond[21990]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1) Jan 17 02:24:01 wwwdev crond[22000]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1) Jan 17 02:25:01 wwwdev crond[22006]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1) Jan 17 02:26:01 wwwdev crond[22015]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1) Jan 17 02:27:01 wwwdev crond[22024]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1) Jan 17 02:28:01 wwwdev crond[22029]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1) Jan 17 02:29:01 wwwdev crond[22034]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1) 无论在/ tmp中,实际上我已经重启了,但是我真的很想知道发生了什么。
我不确定,但是这个描述非常像一个服务器的妥协,发送垃圾邮件。 它也可能是一个蠕虫寻找更多的主机妥协,但垃圾邮件听起来更有可能。
如果您在电子邮件信誉网站(如SenderScore或SenderBase)上查找服务器的IP地址,或者只是在Google中search,则可能会发现一些此类垃圾邮件的例子甚至是垃圾邮件的例子。 您也可以检查DNS黑名单 ,查看您的服务器是否被列入黑名单。
cron作业正在运行的用户名暗示妥协(如果是这样的话)通过您的网站发生的。 在cron作业开始之前的几天,您的web服务器访问和错误日志将是最好的开始寻找的地方。
几乎忘记了我的服务器的黑客应急的强制性链接。 在那里有很多好的build议,关于怎么做和如何清理。 不要忘记删除或限制phpMyAdmin。