我认为我的服务器遭到了黑客攻击。我该怎么办?

我认为我的服务器遭到了黑客攻击。我该怎么办?

可能重复:
我的服务器被黑了 紧急求助

我不是服务器管理员,在“调试”服务器方面经验很少。但从我的日志文件来看,我似乎被黑客入侵了。

但我不知道我该怎么做:-/

服务器类型:VPS
操作系统:Linux 2.6.18
服务器:Centos 5
管理界面:Parallels Plesk 9

当前内存使用量:1024 中的 200。

错误日志文件 7 月 10 日

[Sat Jul 09 15:37:38 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/web
[Sat Jul 09 15:37:39 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/php-my-admin
[Sat Jul 09 15:37:39 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/websql
[Sat Jul 09 15:37:40 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpmyadmin
[Sat Jul 09 15:37:40 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin
[Sat Jul 09 15:37:40 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2
[Sat Jul 09 15:37:41 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/php-my-admin
[Sat Jul 09 15:37:41 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.2.3
[Sat Jul 09 15:37:41 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.2.6
[Sat Jul 09 15:37:42 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.5.1
[Sat Jul 09 15:37:42 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.5.4
[Sat Jul 09 15:37:43 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.5.5-rc1
[Sat Jul 09 15:37:43 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.5.5-rc2
[Sat Jul 09 15:37:43 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.5.5
[Sat Jul 09 19:15:14 2011] [notice] mod_fcgid: process /var/www/vhosts/mysite.no/httpdocs/index.php(9512) exit(server exited), terminated by calling exit(), return code: 0
[Sat Jul 09 20:01:34 2011] [error] [client 93.158.147.8] File does not exist: /var/www/vhosts/default/htdocs/robots.txt
[Sat Jul 09 21:09:18 2011] [notice] mod_fcgid: process /var/www/vhosts/mysite.no/httpdocs/index.php(18166) exit(normal exit), terminated by calling exit(), return code: 0
[Sat Jul 09 21:09:18 2011] [warn] mod_fcgid: cleanup zombie process 18166

错误日志文件 8 月 1 日

[Sun Jul 31 03:34:54 2011] [warn] Init: SSL server IP/port conflict: default-217-170-195-78:443 (/etc/httpd/conf.d/zz010_psa_httpd.conf:78) vs. horde.webmail:443 (/etc/httpd/conf.d/zzz_horde_vhost.conf:41)
[Sun Jul 31 03:34:54 2011] [warn] Init: You should not use name-based virtual hosts in conjunction with SSL!!
[Sun Jul 31 03:34:54 2011] [warn] WARNING: Attempt to change ServerLimit ignored during restart
[Wed Aug 03 18:54:45 2011] [notice] mod_fcgid: server /var/www/vhosts/mysite.no/httpdocs/index.php(10098) started
[Wed Aug 03 18:54:46 2011] [notice] mod_fcgid: too much /var/www/vhosts/mysite.no/httpdocs/index.php process(current:8, max:8), skip the spawn request
[Sun Jul 31 12:20:29 2011] [warn] mod_fcgid: cleanup zombie process 17543
[Thu Aug 04 07:38:57 2011] [error] [client 188.138.88.210] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)

我搜索了一下,想看看是否有任何“指南”告诉我应该怎么做。但我在很多论坛上都找到和我情况相同的人,但没有明确的答案。

可能没有明确的答案,但我很确定每个人都应该知道几个步骤。

我现在应该采取什么措施来阻止黑客攻击?

答案1

是什么让你认为你被黑客入侵了?日志没有显示任何迹象。

它们只是表明有人试图访问您的服务器上不存在的一些文件。

它们表明您的 Web 服务器配置错误,其中的 cgi 模块导致了僵尸进程和死亡进程。

答案2

@Iain 评论说这是一个自动扫描,我不确定他是对还是错,但我确实认为值得小心,因为如果这只是一次扫描,那么删除该站点并重建它会有点费力。

首先,你有备份吗?如果有,你可以尝试将备份的 /sbin 和 /bin 以及其他目录的内容与生产环境进行比较,以查找更改。

您是否安装了文件完整性检查器?如果您被黑客入侵,事后检查器就毫无用处了,但如果没有,请考虑安装 tripwire 或 samhain 之类的系统。正确配置后,当文件被更改或出现可疑活动时,它们可以通过电子邮件向您发送警报。(注意 - 这需要维护。当您更新系统时,请相应地更新其数据库)

使用 chkrootkit 和 rkhunter 检查系统。

监控系统中是否存在异常网络活动。使用 ntop 等程序;获取系统“正常”行为的统计信息,这样您便能知道何时出现异常或需要进行调查。检查是否存在异常开放端口。

使用 clamscan 扫描您的系统,查看是否发现任何常见的恶意软件迹象。

如果您没有备份...请开始制作!

暂时我会在 Google 上搜索日志中看到的类似行为,看看其他人是否发布过相关帖子,并发现这只是一次扫描。如果您的系统没有演技有趣的是,恶意软件扫描工具没有找到任何你大概不必担心(尽管如果它已被黑客入侵,偏执的反应是不信任您的二进制文件...)。如果您通过使用打包程序的发行版进行安装,则可能可以根据打包程序检查您的二进制文件以确保所有内容匹配...如果校验和匹配,那么您应该没问题。

答案3

我不认为你被黑客入侵了,有人只是在测试锁。
我会72.46.146.130在你的防火墙上(或通过本地防火墙)进行拦截,然后自己检查你的锁(看看这里和那边安全.SE咨询)。

您可以稍后在空闲时解除防火墙规则 - 您也可以联系 VersaWeb 的反滥用人员(IP Whois 中的联系信息),如果您觉得自己特别有帮助/吹毛求疵,请报告此事件。

答案4

编辑:正如其他人所指出的,日志表明这只是一次扫描。不过,我将把这个留在这里作为黑客恢复的快速指南。

  1. 备份服务器被黑客入侵状态下的所有日志。
  2. (甚至可以在受控环境中对服务器进行测试)
  3. 从轨道上用核武器轰炸它。
  4. 检查被黑后的日志,确定被黑的原因。删除导致入侵的代码。
  5. 从黑客入侵前的备份中重建(你能相信它们吗?我的意思是,真的吗?)或者从头开始重建。
  6. 使用从黑客攻击后的日志中收集的信息来强化您的服务器。

您必须弄清楚这是怎么发生的。很可能是一些不安全的代码。如果需要,请找人帮忙,但只需重建即可确保这种情况再次发生。

相关内容