哎呀，悲剧了，好像被入侵了，查看了下/var/log/messages和last都已经清理。

没事，还好有邮箱报警！

怎么追踪呢 host.allow 里面设置

sshd : * : spawn /bin/echo %c %d | mail -s '标题' 邮箱地址

第一先禁止这个ip访问

用rkhunter扫下，是否存在rootkit恶意程序。

试试证明，被弄了ssh后门。

果断的重新编译ssh/我系统是centos，直接卸载，用yum安装

下面继续检查

没有异常。

网络连接一切正常。

账号也没什么异常。

find /etc -cmin -10 使用find查找了下10分钟内创建的文件

哎呀，大马。。杀掉咯。。

至于通过什么漏洞入侵的服务器，肯定是网站咯，

分析下网站数据，至于网站怎么修复。往下就不说勒，不是我的事！

另外linux服务器防御再小提一点！图的话就不上了！很基本的防御能防御小黑客哦！亲

首先很多人拿到服务器如果一看是linux的很多时候他们想到的是反弹，那么我目的就是要阻止你反弹！ 哼哼！！

看看你网站是以apache 还是noboday权限运行。 设置setfacl ！比如是apache。那么我们就setfack –m u:apache:--- /bin  /sbin 让他们执行不了命令就算他们上传反弹脚本 不能执行撒，如果是php的反弹脚本我还真没遇见过，有遇见的求给！！

其次phpshell自带反弹的，但是它们反弹的时候会在/tmp下创建东西才能成功!!

由于php上传会文件会涉及到临时上传 文件会放在tmp文件下，所以我们不能把tmp封死，但是可以给但是可以让去掉它的执行权限。他不就反弹不了啦！！一样的setfacl

至于内核升级不建议，会出很多问题，如果想稳定的话 ，所以多观察服务器多看日志，等是一个优秀管理应该做的事！

From：F4ckTeam - 战虎