我有一台用于测试的 CentOS 云服务器,发现在过去 30 天内,带宽已暴增(16,000英国准确地说)
当我最初尝试检查服务器时,它完全无法访问(SSH、Web 上无响应,甚至控制台(控制台仅显示一堆错误,没有登录提示)
我重启了服务器,开始查看日志和登录信息。很久没有 SSH 登录了,日志中除了每分钟出现一次之外,没有任何异常:
Jan 17 02:20:01 wwwdev crond[21971]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:21:01 wwwdev crond[21976]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:22:01 wwwdev crond[21985]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:23:01 wwwdev crond[21990]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:24:01 wwwdev crond[22000]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:25:01 wwwdev crond[22006]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:26:01 wwwdev crond[22015]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:27:01 wwwdev crond[22024]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:28:01 wwwdev crond[22029]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:29:01 wwwdev crond[22034]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
由于我必须重新启动,所以 /tmp 中的内容早已消失,但我真的很想知道到底发生了什么。
答案1
我不知道肯定是,但这种描述很像发送垃圾邮件的服务器入侵。它也可能是蠕虫病毒,正在寻找更多主机进行入侵,但垃圾邮件入侵的可能性更大。
如果你在电子邮件信誉网站上查找服务器的 IP 地址,例如发件人分数或者发送者基地或者简单地在 Google 上搜索,您可能会找到一些证据,甚至是垃圾邮件的例子。您还可以查看DNS 黑名单查看您的服务器是否被列入黑名单。
cron 作业运行时使用的用户名表明入侵(如果是这样的话)是通过您的网站发生的。cron 作业启动前几天的 Web 服务器访问和错误日志是开始查找的最佳位置。
差点忘了链接到我的服务器被黑了 紧急求助。那里有很多关于该做什么和如何清理的好建议。不要忘记删除或限制 phpMyAdmin。