Я запускаю сервер Ubuntu 6.06 dapper, и он был взломан. Сразу признаюсь, что я программист, а не системный администратор, поэтому, несмотря на то, что я работал с Unix/Linux много лет, мои навыки системного администратора крайне слабы.
У меня есть сайт, который работает под управлением apache 2 и tomcat для обслуживания веб-приложения Struts на базе Java. Производительность сайта становилась очень плохой, и после того, как я попытался понять, в чем может быть проблема, я обнаружил, что временная директория в моем домашнем каталоге заполняется файлами под названием getsetup.hb. *
Это было что-то новое, поэтому я покопался еще немного и, выполнив ps -ef, обнаружил, что запущена пара процессов, о которых я не знал и которые выглядели немного странно: /boot/.IptabLes и /boot/.IptabLex
Я поискал в Интернете подсказку, что это за файлы, и попробовал запустить netstat, чтобы посмотреть, какие иностранные хосты подключены. Оба файла .IptabLes и .IptabLex были подключены к IP-адресам, принадлежащим China Telecom.
Это было шоком для меня, потому что я настроил брандмауэр iptables так, чтобы он разрешал соединения с веб-сервером только через порт 80, а ssh через порт 22 был ограничен статическим IP, который я использую дома, чтобы иметь удаленный доступ к серверу.
Я убил процессы, удалил файлы из каталога /boot, а также обнаружил копии в корне и в /usr, которые я удалил. Я также сменил пароль root.
Сегодня я снова вошел в систему и увидел, что все файлы восстановлены, а соединение с IP-адресом China Telecom восстановлено.
Я понятия не имею, как действовать дальше. Пожалуйста, простите мое невежество, но я надеюсь, что кто-нибудь подскажет мне, как действовать дальше, чтобы решить эту проблему. Любые предложения приветствуются.
Заранее спасибо.
Mike
Как сказал Томас в комментарии 6.06
, это ПУТЬ после конца жизни. Вы должны нанять парня из Linux как можно скорее и помочь вам с процессом обновления.
А пока не паникуй! Расслабьтесь и прочитайте следующие популярные темы:
Откуда вы знаете, что ваш сервер был взломан?
Как узнать, что мой сервер Linux был взломан ?
Надеемся, вы найдете лучший способ справиться с вашим скомпрометированным сервером, прочитав следующий канонический вопрос:
Как мне работать с скомпрометированным сервером?
Удачи!
Я бы сделал, как было предложено в комментариях выше, но помните, перевести сервер в автономный режим , так как если он был добавлен в ботнет, он не будет атаковать другие машины и проходить через другие. через что ты проходишь
Удалите файлы, и, если на вашем компьютере установлен ftp / ssh, удалите также все эти файлы конфигурации *, поскольку они, вероятно, будут содержать ключи RSA и т. Д., Поэтому, кто бы ни взламывал его, ему не нужен пароль. Но это не решит проблему, только переустановка сделает это:
* Файлы конфигурации будут в .ssh/
и т. Д. В ваших домашних директориях, которые также могут быть в /root
, /
и т. Д.