可能重复:
我的服务器被黑了应急
首先一些背景信息。 我们讨论的服务器运行的是CentOS 5.6,端口22上的SSH可以通过互联网访问(坏,我们知道),端口8080上的Apache可以通过互联网和MySQL访问,无法访问通过互联网。 前几天这个testing服务器被黑了,由于一个非常简单的密码(是的,你会发现它遍布互联网,坏…),所以我们改变了它。 当然,这次我们input了一个真正的密码,这是你在互联网上找不到的东西。
到目前为止,每个人都没有问题。 我们扫描了rootkit,删除了脚本小子已经下载的一些东西(他们使用SSHlogin),好吧,有点像通常你会做的事情。 不过,今天我们看到被黑客入侵的服务器正在使用这么多的stream量,我们只能检查一切是否正常。 所以,我们使用SSHlogin,我们看到了什么? 是的:“从xxx.xxx.xxx.xxx上次login2月21日22:08”。 也就是说,在更改密码之前,与用于login系统的IP相同。
但是,这次脚本小子安装了一些恶意软件。 他们显然创造了一些帐户,一个被称为甲骨文 。 它包含文件夹.mozilla其中包含文件夹lala 。 打开该文件夹,我们看到了脚本小子使用真正不安全的密码帐户下载的相同内容。尝试执行ps -x ,我们看到了zmeu进程正在运行。 而不仅仅是一个,想像一个50左右。 现在来一些问题:-)
那些剧本小子是怎么login的? 没有SSH密钥上传和密码更改。 但是,他们确实设法login,毕竟…
“zmeu”是做什么的? 看起来这是与phpmyadmin有关,但我们不使用phpmyadmin。 我们已经停止了所有的“zmeu”进程,删除了文件和帐户并重启了服务器。
networking完全没有了 只要这个黑客入侵的服务器连接到networking,一切都很慢。 看起来像已经通过删除zmeu进程已经修复。
除非您是一位非常stream畅和经验丰富的安全专家,否则您需要重新开始并将已知的干净数据重新加载到全新安装中。 即使你真的那么好 ,我仍然不会开始新鲜的怀疑。 正如你所看到的,一个攻击者,甚至一个脚本小子将要做的第一件事情之一是为下一次进入另一种方式。
你真的需要做一个完整的法庭外观才能得到答案,但是我猜测,在ZmEu活动的情况下,他们在你的Apachepath的某处丢弃了一个脚本。
一个快速的Google检查显示,这个软件扫描通过phpMyAdmin进入的方法。 您的攻击者使用多种方法危害服务器,并正在使用您的机器通过此方法攻击其他人。 所以,即使你最初的妥协是通过SSH,他们正在使用这个以其他方式发起攻击。
他们似乎已经使用了所有可用的资源来继续扫描。 再次,我敦促你开始新的。 确认您重新加载的所有文件是安全的,可以使用在折中,版本控制或其他系统之前进行的备份。 将恶意代码插入合法的Web应用程序以允许将来访问是很常见的。
只是咧嘴笑,是密码123456?