哎呀,悲剧了,好像被入侵了,查看了下/var/log/messages和last都已经清理。
没事,还好有邮箱报警!
怎么追踪呢 host.allow 里面设置
sshd : * : spawn /bin/echo %c %d | mail -s '标题' 邮箱地址
第一先禁止这个ip访问
用rkhunter扫下,是否存在rootkit恶意程序。
试试证明,被弄了ssh后门。
果断的重新编译ssh/我系统是centos,直接卸载,用yum安装
下面继续检查
没有异常。
网络连接一切正常。
账号也没什么异常。
find /etc -cmin -10 使用find查找了下10分钟内创建的文件
哎呀,大马。。杀掉咯。。
至于通过什么漏洞入侵的服务器,肯定是网站咯,
分析下网站数据,至于网站怎么修复。往下就不说勒,不是我的事!
另外linux服务器防御再小提一点!图的话就不上了!很基本的防御能防御小黑客哦!亲
首先很多人拿到服务器如果一看是linux的很多时候他们想到的是反弹,那么我目的就是要阻止你反弹! 哼哼!!
看看你网站是以apache 还是noboday权限运行。 设置setfacl !比如是apache。那么我们就setfack –m u:apache:--- /bin /sbin 让他们执行不了命令就算他们上传反弹脚本 不能执行撒,如果是php的反弹脚本我还真没遇见过,有遇见的求给!!
其次phpshell自带反弹的,但是它们反弹的时候会在/tmp下创建东西才能成功!!
由于php上传会文件会涉及到临时上传 文件会放在tmp文件下,所以我们不能把tmp封死,但是可以给但是可以让去掉它的执行权限。他不就反弹不了啦!!一样的setfacl
至于内核升级不建议,会出很多问题,如果想稳定的话 ,所以多观察服务器多看日志,等是一个优秀管理应该做的事!
From:F4ckTeam - 战虎
联系客服