可能重复:
我的服务器被黑了 紧急求助
我的 Linux(CentOS 5.x)机器似乎遭到了攻击。端口扫描活动被追踪到它。但是,要扫描的端口只有 8080。作为临时措施,我更新了 iptables 规则以丢弃从机器到端口 8080 的所有出站流量。
但是,1. 我想确定我的机器是否确实已被入侵。2. 如果真的是端口扫描,它会被限制在单个端口 8080 上吗?3. 最重要的是,如果机器感染了某些恶意软件,导致端口扫描,我该如何才能让它再次恢复正常。
谢谢
答案1
攻击者可以使用多种不同的方式利用您的系统攻击其他网站,我将介绍几种比较常见的方式。
有人已获得您系统的远程 shell 访问权限。
这可能是由于 SSH 密码弱、防火墙规则不完善或服务器上运行了可利用的程序所致。我首先要检查的是(iptables在短时间内解除阻止)的输出netstat -anp。如果您看到可疑的出站 tcp/8080 连接,请从最后一列中获取 PID 并查看它们源自哪个进程。
如果违规进程是httpd,nginx等,请继续下一部分,否则您应该看看这个问题:
有人正在利用您网络服务器上托管的脚本。
如果有问题的进程是 Web 服务器或 FastCGI 之类的进程,则很可能是这种情况。这在 PHP 和 Perl::CGI 中很常见,但当然在任何语言中都可能发生。您使用的脚本写得不好,或者 Perl/PHP/等的版本容易受到攻击。您可以使用访问日志(例如/var/log/httpd/access_log)查看哪个脚本被反复攻击(以及从哪里攻击!)并删除或修复它。
无论如何,您也应该定期修补您的服务器。