我正在运行 Ubuntu 6.06 dapper 服务器,但它已被黑客入侵。我在此先承认我是一名程序员,而不是系统管理员,因此尽管我使用 Unix/Linux 多年,但我作为系统管理员的技能非常薄弱。
我托管了一个运行 apache 2 和 tomcat 的网站,用于提供基于 Java 的 Struts Web 应用程序。该网站的性能变得非常糟糕,经过一番尝试以找出问题所在后,我发现主目录中的临时目录充满了名为 getsetup.hb 的文件。*
这是新发现,所以我进一步挖掘了一下,通过运行 ps -ef 发现有几个我不知道的进程正在运行,对我来说看起来有点奇怪,/boot/.IptabLes 和 /boot/.IptabLex
我在网上搜索这些文件是什么,并尝试运行 netstat 来查看连接了哪些外国主机。.IptabLes 和 .IptabLex 都连接到属于中国电信的 IP 地址。
这让我很震惊,因为我已经配置了 iptables 防火墙软件,所以它只允许连接到端口 80 上的 Web 服务器,而端口 22 上的 ssh 仅限于我在家使用的静态 IP,这样我就可以远程访问服务器。
我终止了进程,从 /boot 目录中删除了文件,还删除了根目录和 /usr 中的副本。我还更改了 root 密码。
今天再次登录时,我发现文件全部恢复了,并且与中国电信 IP 的连接也重新建立了。
我不知道该怎么做。请原谅我的无知,但我希望有人能告诉我该怎么做才能解决这个问题。欢迎提出任何建议。
提前致谢。
麦克风
答案1
正如 Thomas 在评论中所说,6.06它已经过时了。您需要尽快聘请 Linux 专家来帮助您完成升级过程。
与此同时,不要惊慌!放松并阅读以下热门话题:
希望您能通过阅读以下典型问题找到处理受感染服务器的最佳方法:
祝你好运!
答案2
我会按照上面的评论建议去做,但请记住,使服务器离线,因为如果它已被添加到僵尸网络,它就不会攻击其他机器并让其他机器经历您正在经历的事情。
删除这些文件,如果您的机器有 ftp/ssh,请同时删除所有这些配置文件*,因为这些文件可能包含 RSA 密钥等,因此无论谁入侵它都不需要密码。但这并不能解决问题,只有重新安装才能解决问题:
*配置文件将位于.ssh/您的主目录中的 etc 中,也可能位于/root、/等中。