可能重复:
我的服务器被黑了应急
大约一个星期前,一个机器人闯入我们的一个linux服务器,并发送了70k个垃圾邮件。 我查看了一下日志,发现了什么时候连接了机器人,哪些邮件发送给了谁,以及机器人使用了什么IP地址。 但是,我不知道他是如何发邮件的。 bash历史似乎是空的,似乎没有文件修改(我检查“查找”)。 我们希望确保没有任何隐藏的程序开始发送垃圾邮件,或者一旦我们把服务器重新联机,就开始发送垃圾邮件。
所以,我问:关于机器人如何发送电子邮件的任何想法? 难道他只是在bash中执行了一个大的命令吗? 我们应该完全重新安装在服务器上的操作系统,还是安全地保持它与“黑客”系统运行?
提前致谢
首先 – 你需要假设整个机器都被盗用了。 不要连接它 – 从头开始重build整个事情。 在bash历史中看不到任何有用的可能的原因是已经使用了某种rootkit。
而rootkit的问题是你用来find它们的任何工具都可以被破坏。
他们可能已经使用了一个单独的bash实例,或者您的bash历史和日志文件可能已经被破坏 – 在这个阶段很难说清楚。
有关更多信息,请参阅有关Rootkit的安全性堆栈交换问题 。
也许你的smtp守护进程只是configuration错误,允许中继电子邮件到所有域。