答案1
你的服务器已被入侵/破坏,所以我给你的建议和我在类似事件中给出的建议一样问题:
通常,重现所有攻击者的步骤非常困难,最好的解决方案是重新安装受感染的服务器并从备份中恢复所有内容。另一方面,您需要进行一些取证,以查明可能发生的事情并防止其再次发生。
以下是值得检查的事项列表:
- 查看你的 web 服务器和 ftp 服务器版本中是否存在已知漏洞
- 查看所有日志文件,尤其是 Web 服务器、FTP 服务器和系统日志文件。在 Web 服务器日志文件中,检查帖子
- 是否有任何您不需要的服务正在运行?它们可以从互联网访问吗?立即关闭它们,检查它们的日志并检查可能的已知漏洞。
- 运行 rootkit 检查器。它们并非万无一失,但可以引导您找到正确的方向。chkrootkit 和 rkhunter 是完成这项工作的工具
- 从服务器外部运行 nmap 并检查是否有东西在监听不应该监听的端口。
- 如果您有一个 rrdtool 趋势应用程序(如 Cacti、Munin 或 Ganglia),请查看图表并搜索可能发生的攻击时间范围。
此外,请始终牢记这一点:
- 关闭所有不需要的服务
- 备份重建服务器所需的一切,并定期测试备份
- 遵循最小特权原则
- 更新你的服务,尤其是安全更新
- 不要使用默认凭据
希望这可以帮助!