可能重复:
我的服务器被黑了 紧急求助
我的服务器(运行在 Centos 5 上)遇到了一些问题。
在检查流量时,我运行“$lsof | grep ezbuyinfo”,它显示 smtp 端口上的连接过多。
我尝试了 rkhunter,但什么也没找到。
然后我检查了我的网络源代码,发现了一些奇怪的源代码(.php 和 .pl)。(我确定它们不是我的)。
然后我删除了它,终止了进程,重启了 apache。但问题仍然存在。我再次运行“$lsof | grep ezbuyinfo”,结果显示:
###########################################################################################
.......
.......
httpd.pl 7686 ezbuyinfo cwd DIR 8,1 4096 2 /
httpd.pl 7686 ezbuyinfo rtd DIR 8,1 4096 2 /
httpd.pl 7686 ezbuyinfo txt REG 8,1 11380 278644 /usr/bin/perl
httpd.pl 7686 ezbuyinfo mem REG 8,1 1693812 1251324 /lib/libc-2.5.so
httpd.pl 7686 ezbuyinfo mem REG 8,1 216544 1251325 /lib/libm-2.5.so
httpd.pl 7686 ezbuyinfo mem REG 8,1 21948 1249451 /lib/libnss_dns-2.5.so
httpd.pl 7686 ezbuyinfo mem REG 8,1 50848 1251326 /lib/libnss_files-2.5.so
httpd.pl 7686 ezbuyinfo mem REG 8,1 115120 342229 /usr/lib/perl5/5.8.8/i386-linux-thread-multi/auto/POSIX/POSIX.so
httpd.pl 7686 ezbuyinfo mem REG 8,1 135892 1249270 /lib/libpthread-2.5.so
httpd.pl 7686 ezbuyinfo mem REG 8,1 13492 1249348 /lib/libutil-2.5.so
httpd.pl 7686 ezbuyinfo mem REG 8,1 43616 1249421 /lib/libcrypt-2.5.so
httpd.pl 7686 ezbuyinfo mem REG 8,1 18812 1249457 /lib/libdl-2.5.so
httpd.pl 7686 ezbuyinfo mem REG 8,1 107924 1250829 /lib/libnsl-2.5.so
httpd.pl 7686 ezbuyinfo mem REG 8,1 78780 1250848 /lib/libresolv-2.5.so
httpd.pl 7686 ezbuyinfo mem REG 8,1 20216 344920 /usr/lib/perl5/5.8.8/i386-linux-thread-multi/auto/Socket/Socket.so
httpd.pl 7686 ezbuyinfo mem REG 8,1 16016 342185 /usr/lib/perl5/5.8.8/i386-linux-thread-multi/auto/IO/IO.so
httpd.pl 7686 ezbuyinfo mem REG 8,1 1240136 342086 /usr/lib/perl5/5.8.8/i386-linux-thread-multi/CORE/libperl.so
httpd.pl 7686 ezbuyinfo mem REG 8,1 128596 1250857 /lib/ld-2.5.so
httpd.pl 7686 ezbuyinfo 0r CHR 1,3 0t0 1254 /dev/null
httpd.pl 7686 ezbuyinfo 1w CHR 1,3 0t0 1254 /dev/null
httpd.pl 7686 ezbuyinfo 2w CHR 1,3 0t0 1254 /dev/null
httpd.pl 7686 ezbuyinfo 3u REG 8,1 0 259599 /tmp/.xcache.500.0.63691954.lock (deleted)
httpd.pl 7686 ezbuyinfo 4u unix 0xffff880027e04900 0t0 69645 /var/run/mod_fcgid/3540.5
httpd.pl 7686 ezbuyinfo 5u IPv4 84877 0t0 UDP *:54927
httpd.pl 7686 ezbuyinfo 6u IPv4 86820 0t0 TCP 112.78.8.201:38635->mta-v2.mail.vip.ukl.yahoo.com:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 7u IPv4 86810 0t0 TCP 112.78.8.201:44057->mta-v2.mail.vip.ird.yahoo.com:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 8u IPv4 86770 0t0 UDP *:45036
httpd.pl 7686 ezbuyinfo 9u IPv4 85220 0t0 TCP 112.78.8.201:40875->we-in-f27.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 10u IPv4 85282 0t0 TCP 112.78.8.201:58803->we-in-f26.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 11u IPv4 85287 0t0 TCP 112.78.8.201:58806->we-in-f26.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 12u IPv4 86812 0t0 TCP 112.78.8.201:38627->mta-v2.mail.vip.ukl.yahoo.com:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 13u IPv4 86815 0t0 TCP 112.78.8.201:38630->mta-v2.mail.vip.ukl.yahoo.com:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 14u IPv4 85424 0t0 TCP 112.78.8.201:48887->iy-in-f26.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 15u IPv4 86805 0t0 TCP 112.78.8.201:44052->mta-v2.mail.vip.ird.yahoo.com:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 16u IPv4 86740 0t0 UDP *:35379
httpd.pl 7686 ezbuyinfo 17u IPv4 86809 0t0 TCP 112.78.8.201:44056->mta-v2.mail.vip.ird.yahoo.com:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 18u IPv4 86822 0t0 TCP 112.78.8.201:38637->mta-v2.mail.vip.ukl.yahoo.com:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 19u IPv4 84892 0t0 UDP *:59981
httpd.pl 7686 ezbuyinfo 20u IPv4 85305 0t0 TCP 112.78.8.201:56746->gh-in-f26.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 21u IPv4 84894 0t0 UDP *:60893
httpd.pl 7686 ezbuyinfo 22u IPv4 86710 0t0 UDP *:41570
httpd.pl 7686 ezbuyinfo 23u IPv4 86824 0t0 TCP 112.78.8.201:38639->mta-v2.mail.vip.ukl.yahoo.com:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 24u IPv4 85332 0t0 TCP 112.78.8.201:44726->pb-in-f27.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 25u IPv4 86836 0t0 UDP *:57233
httpd.pl 7686 ezbuyinfo 26u sock 0,5 0t0 87199 can't identify protocol
httpd.pl 7686 ezbuyinfo 27u IPv4 86828 0t0 TCP 112.78.8.201:44075->mta-v2.mail.vip.ird.yahoo.com:smtp (SYN_SENT)
httpd.pl 7686 ezbuyinfo 28u IPv4 86745 0t0 UDP *:52150
httpd.pl 7686 ezbuyinfo 29u IPv4 86839 0t0 UDP *:44393
httpd.pl 7686 ezbuyinfo 30u IPv4 85341 0t0 TCP 112.78.8.201:48838->iy-in-f26.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 31u IPv4 86830 0t0 TCP 112.78.8.201:44077->mta-v2.mail.vip.ird.yahoo.com:smtp (SYN_SENT)
httpd.pl 7686 ezbuyinfo 32u IPv4 86773 0t0 UDP *:49943
httpd.pl 7686 ezbuyinfo 33u IPv4 86826 0t0 TCP 112.78.8.201:38641->mta-v2.mail.vip.ukl.yahoo.com:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 34u IPv4 86675 0t0 UDP *:60112
httpd.pl 7686 ezbuyinfo 35u sock 0,5 0t0 86910 can't identify protocol
httpd.pl 7686 ezbuyinfo 36r FIFO 0,6 0t0 46735 pipe
httpd.pl 7686 ezbuyinfo 37u IPv4 86833 0t0 TCP 112.78.8.201:38648->mta-v2.mail.vip.ukl.yahoo.com:smtp (SYN_SENT)
httpd.pl 7686 ezbuyinfo 38u IPv4 86802 0t0 TCP 112.78.8.201:44049->mta-v2.mail.vip.ird.yahoo.com:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 39w FIFO 0,6 0t0 46736 pipe
httpd.pl 7686 ezbuyinfo 40w FIFO 0,6 0t0 46751 pipe
httpd.pl 7686 ezbuyinfo 41w FIFO 0,6 0t0 46829 pipe
httpd.pl 7686 ezbuyinfo 42w FIFO 0,6 0t0 46752 pipe
httpd.pl 7686 ezbuyinfo 43w FIFO 0,6 0t0 46903 pipe
httpd.pl 7686 ezbuyinfo 44w FIFO 0,6 0t0 46753 pipe
httpd.pl 7686 ezbuyinfo 45w FIFO 0,6 0t0 46830 pipe
httpd.pl 7686 ezbuyinfo 46w FIFO 0,6 0t0 46928 pipe
httpd.pl 7686 ezbuyinfo 47w FIFO 0,6 0t0 46831 pipe
httpd.pl 7686 ezbuyinfo 48w FIFO 0,6 0t0 46904 pipe
httpd.pl 7686 ezbuyinfo 49w FIFO 0,6 0t0 47014 pipe
httpd.pl 7686 ezbuyinfo 50w FIFO 0,6 0t0 46905 pipe
httpd.pl 7686 ezbuyinfo 51w FIFO 0,6 0t0 46929 pipe
httpd.pl 7686 ezbuyinfo 52u IPv4 86807 0t0 TCP 112.78.8.201:44054->mta-v2.mail.vip.ird.yahoo.com:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 53w FIFO 0,6 0t0 46930 pipe
httpd.pl 7686 ezbuyinfo 54w FIFO 0,6 0t0 47015 pipe
httpd.pl 7686 ezbuyinfo 55u IPv4 86816 0t0 TCP 112.78.8.201:38631->mta-v2.mail.vip.ukl.yahoo.com:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 56w FIFO 0,6 0t0 47016 pipe
httpd.pl 7686 ezbuyinfo 57u IPv4 85176 0t0 UDP *:49990
httpd.pl 7686 ezbuyinfo 58u IPv4 85203 0t0 TCP 112.78.8.201:44694->pb-in-f27.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 59u IPv4 86893 0t0 UDP *:51351
httpd.pl 7686 ezbuyinfo 60u IPv4 85390 0t0 TCP 112.78.8.201:48862->iy-in-f26.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 61u IPv4 85392 0t0 TCP 112.78.8.201:48864->iy-in-f26.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 62u IPv4 85208 0t0 TCP 112.78.8.201:60250->ob-in-f27.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 63u IPv4 85394 0t0 TCP 112.78.8.201:48866->iy-in-f26.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 64u IPv4 86841 0t0 UDP *:60662
httpd.pl 7686 ezbuyinfo 65u IPv4 85215 0t0 TCP 112.78.8.201:41860->ee-in-f27.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 66u IPv4 86819 0t0 TCP 112.78.8.201:38634->mta-v2.mail.vip.ukl.yahoo.com:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 67u IPv4 86903 0t0 UDP *:52980
httpd.pl 7686 ezbuyinfo 68u IPv4 86896 0t0 UDP *:48803
httpd.pl 7686 ezbuyinfo 69u IPv4 85247 0t0 TCP 112.78.8.201:53025->qc-in-f27.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 70u IPv4 86706 0t0 UDP *:52310
httpd.pl 7686 ezbuyinfo 71u IPv4 86899 0t0 UDP *:45077
httpd.pl 7686 ezbuyinfo 72u IPv4 86907 0t0 UDP *:55601
httpd.pl 7686 ezbuyinfo 73u sock 0,5 0t0 86965 can't identify protocol
httpd.pl 7686 ezbuyinfo 74u sock 0,5 0t0 86967 can't identify protocol
httpd.pl 7686 ezbuyinfo 75u IPv4 85281 0t0 TCP 112.78.8.201:58802->we-in-f26.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 76u IPv4 85202 0t0 TCP 112.78.8.201:56718->gh-in-f26.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 77u sock 0,5 0t0 86976 can't identify protocol
httpd.pl 7686 ezbuyinfo 78u IPv4 85289 0t0 TCP 112.78.8.201:58807->we-in-f26.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 79u IPv4 85199 0t0 TCP 112.78.8.201:57993->pb-in-f26.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 80u IPv4 85200 0t0 TCP 112.78.8.201:57994->pb-in-f26.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 81u IPv4 85040 0t0 UDP *:44132
httpd.pl 7686 ezbuyinfo 82u IPv4 85016 0t0 UDP *:42426
httpd.pl 7686 ezbuyinfo 83u IPv4 85122 0t0 UDP *:37788
httpd.pl 7686 ezbuyinfo 84u IPv4 85018 0t0 UDP *:47269
httpd.pl 7686 ezbuyinfo 85u IPv4 85333 0t0 TCP 112.78.8.201:60278->ob-in-f27.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 86u IPv4 85213 0t0 TCP 112.78.8.201:58004->pb-in-f26.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 87u IPv4 85310 0t0 TCP 112.78.8.201:44723->pb-in-f27.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 88u IPv4 85335 0t0 TCP 112.78.8.201:48835->iy-in-f26.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 89u IPv4 85293 0t0 TCP 112.78.8.201:58809->we-in-f26.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 90u IPv4 85337 0t0 TCP 112.78.8.201:48836->iy-in-f26.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 91u IPv4 85283 0t0 TCP 112.78.8.201:58804->we-in-f26.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 92u IPv4 85285 0t0 TCP 112.78.8.201:58805->we-in-f26.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 93u IPv4 85195 0t0 TCP 112.78.8.201:57990->pb-in-f26.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 94u IPv4 85063 0t0 UDP *:43876
httpd.pl 7686 ezbuyinfo 95u sock 0,5 0t0 86977 can't identify protocol
httpd.pl 7686 ezbuyinfo 96u IPv4 85174 0t0 UDP *:50156
httpd.pl 7686 ezbuyinfo 97u IPv4 85061 0t0 UDP *:33525
httpd.pl 7686 ezbuyinfo 98u IPv4 85037 0t0 UDP *:51027
httpd.pl 7686 ezbuyinfo 99u IPv4 85307 0t0 TCP 112.78.8.201:48580->iy-in-f27.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 100u IPv4 85120 0t0 UDP *:36725
httpd.pl 7686 ezbuyinfo 101u IPv4 85207 0t0 TCP 112.78.8.201:44698->pb-in-f27.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 102u IPv4 85262 0t0 UDP *:52206
httpd.pl 7686 ezbuyinfo 104u IPv4 85204 0t0 TCP 112.78.8.201:44695->pb-in-f27.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 105u IPv4 85291 0t0 TCP 112.78.8.201:58808->we-in-f26.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 106u IPv4 85209 0t0 TCP 112.78.8.201:60251->ob-in-f27.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 107u IPv4 85229 0t0 TCP 112.78.8.201:40876->we-in-f27.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 108u IPv4 85242 0t0 TCP 112.78.8.201:40877->we-in-f27.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 109u IPv4 85276 0t0 UDP *:36259
httpd.pl 7686 ezbuyinfo 110u IPv4 85197 0t0 TCP 112.78.8.201:57991->pb-in-f26.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 111u IPv4 85312 0t0 TCP 112.78.8.201:44724->pb-in-f27.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 112u IPv4 85198 0t0 TCP 112.78.8.201:57992->pb-in-f26.1e100.net:smtp (ESTABLISHED)
httpd.pl 7686 ezbuyinfo 113u IPv4 85137 0t0 UDP *:42323
......
##########################################################################################
我的服务器被黑客入侵了吗?有什么解决办法吗?请...
答案1
是的。看来您被 rootkit 感染了。立即关闭您的服务器,然后从上次已知的良好备份中恢复。
没有备份?这可真是人生一大教训,兄弟。