可能重复:
我的服务器被黑了 紧急求助
大约一周前,一个机器人入侵了我们的一台 Linux 服务器并从中发送了 7 万封垃圾邮件。我查看了日志,发现该机器人连接的时间、向谁发送了哪些邮件以及该机器人使用的 IP 地址。但是,我不知道他实际上是如何发送邮件的。bash 历史记录似乎是空的,似乎没有修改任何文件(我用“find”检查过)。我们希望确保服务器上线后,不会有隐藏的程序开始发送垃圾邮件或更糟糕的内容。
所以,我想问:您对机器人如何发送电子邮件有任何想法吗?他可能只是在 bash 中执行了一个大命令吗?我们是否应该在服务器上完全重新安装操作系统,或者让它在“被黑”的系统上继续运行是否安全?
提前致谢
答案1
首先,您需要假设整个机器都已受到攻击。不要重新连接 - 从头开始重建整个机器。您在 bash 历史记录中看不到任何有用信息的一个很可能的原因是使用了某种 rootkit。
而 rootkit 的问题在于,你用来查找它们的任何工具都可能被破坏。
他们可能使用了单独的 bash 实例,或者您的 bash 历史记录和日志文件可能已被泄露 - 目前很难判断。
看看 Security Stack Exchange关于 rootkit 的问题了解更多信息。
答案2
也许您的 smtp 守护程序配置错误,允许将电子邮件中继到所有域。