你的服务器已经被损害/污损,所以我给你同样的build议,我给了一个类似的问题 :
通常情况下,重新创build所有攻击者的步骤是非常困难的,最好的解决scheme是重新安装被破坏的服务器,并从备份中恢复所有内容。 另一方面,您需要执行一些取证,以便找出可能发生的事情并防止它再次发生。
以下是一些值得检查的事项:
- 看看你的web服务器和你的ftp服务器版本是否有已知的漏洞
- 看看你可以每个日志文件,特别是networking服务器,FTP服务器和系统。 在networking服务器日志文件中,检查post
- 有没有运行的服务,你不需要? 他们是否可以从互联网上访问? closures他们,检查他们的日志,并检查可能的已知漏洞。
- 运行rootkit检查程序。 他们是不是infalible,但可以引导你在正确的方向。 chkrootkit,尤其是rkhunter是工作的工具
- 从服务器外部运行nmap,并检查是否有任何应该监听的端口。
- 如果您有rrdtool趋势的应用程序(如Cacti,Munin或Ganglia),请查看图表并search可能的攻击时间范围。
另外,始终保持这种心态:
- closures所有你不需要的服务
- 备份一切你需要重build你的服务器和定期testing备份
- 遵循最小特权原则
- 让您的服务更新,特别是关于安全更新
- 不要使用默认的凭据
希望这可以帮助!