可能重复:
我的服务器被黑了 紧急求助
首先介绍一些背景信息。我们讨论的服务器运行的是 CentOS 5.6,SSH 在端口 22 上,可以通过互联网访问(我们知道这很糟糕),Apache 在端口 8080 上,可以通过互联网访问,MySQL 无法通过互联网访问。几天前,这个测试服务器被黑客入侵,原因是密码非常简单(是的,你会在互联网上找到它,很糟糕……),所以我们更改了密码。当然,这次我们输入了一个真正的密码,你在互联网上找不到这个密码。
到目前为止,一切都很顺利。我们扫描了 rootkit,删除了脚本小子下载的一些东西(他们使用 SSH 登录),嗯,这有点像您通常会做的事情。但是,今天我们发现被黑客入侵的服务器正在使用如此多的流量,以至于我们不得不检查一切是否正常。因此,我们使用 SSH 登录,我们看到了什么?是的:“上次登录时间为 2 月 21 日 22:08,登录地址为 xxx.xxx.xxx.xxx”。是的,与更改密码之前用于登录系统的 IP 相同。
然而,这次这些脚本小子安装了一些恶意软件。他们显然创建了一些账户,其中一个叫做神谕. 它包含文件夹.mozilla其中包含文件夹啦啦打开该文件夹,我们看到了与脚本小子使用非常不安全的密码帐户下载的相同内容。尝试执行ps -x,我们看到了这个过程兹梅乌跑步。而且不只是 1 个,大概是 50 个左右。现在来问几个问题 :-)
这些脚本小子是如何登录的?没有上传 SSH 密钥,密码也更改了。不过,他们还是成功登录了……
“zmeu” 是做什么的?看起来它与 phpmyadmin 有关,但我们不使用 phpmyadmin。我们已停止所有“zmeu”进程,删除文件和帐户并重新启动服务器。
网络完全断了。只要这个被黑的服务器连接到网络,一切都会变得非常慢。看来已经通过删除兹梅乌流程。
答案1
从轨道上对地点进行核打击。这是唯一可靠的方法。
除非你是一位非常熟练且经验丰富的安全专家,否则你需要重新开始,将已知的干净数据重新加载到新安装中。即使你只是那真好,我仍然对不从头开始持怀疑态度。正如您所看到的,攻击者(即使是脚本小子)首先会做的事情之一就是给自己留下另一种下次进入的方法。
他们是如何登录的?
您确实需要进行全面的取证调查才能得到答案,但我猜测,考虑到 ZmEu 活动,他们在您的 Apache 路径的某个地方放置了一个脚本。
那么 ZmEu 做什么?
快速 Google 检查显示,此软件会扫描通过 phpMyAdmin 入侵的方法。攻击者使用多种方法入侵服务器,并使用您的机器通过此方法攻击他人。因此,即使您最初的入侵是通过 ssh,他们也会使用此方法以其他方式发起攻击。
一切都很慢?
看起来他们已经用尽了所有可用的资源来继续扫描。再次,我敦促你重新开始。使用被入侵前的备份、版本控制或其他系统,确认你重新加载的所有文件都是安全的。将恶意代码插入合法的 Web 应用程序以允许将来访问是很常见的。
开个玩笑,密码是 123456 吗?