Linux
Centos 6 伺服器被黑 - 正在生成文件
我有 3 台伺服器作為代理負載平衡。有人獲得了對它們的訪問權限,並以某種方式在我的 webroot 中創建了一個 index.html,其中包含廣告,並在我的主 index.php 文件上創建了一個 iframe。
我不確定他們是如何做到這一點的,因為即使我刪除了所有伺服器上的 index.html 文件,我也可以在半天后返回以查看它是否已再次完成。
我注意到伺服器上有一個 web shell 腳本並將其刪除。我還更改了 sshd_config 以便只有一個使用者能夠登錄,而所有其他帳戶都不能。不知何故,他們仍在訪問伺服器並進行這些更改。歷史沒有顯示任何東西。
我需要盡快解決這個問題。
任何人都可以提出任何建議嗎?
謝謝!
攻擊者很可能已經創建了某種形式的後門來重新獲得對您系統的訪問權限。可以通過哪些方式訪問您的伺服器?SSH 將是最明顯的方式,因此請檢查訪問日誌是否有任何看起來奇怪的內容。檢查是否已創建任何帳戶。還要檢查所有使用者的 crontabs,以防某些正在執行的東西為攻擊者重新打開了大門。任何初始化腳本或啟動過程也可能包含有害內容。
關於在連結中檢查的事情以及可能發布的重複評論有更多好的建議。如果您找不到任何踪跡或解釋,則一種可能性是攻擊者已獲得 root 訪問權限,並且能夠以更有效的方式掩蓋他們的踪跡。
歸根結底,雖然您可以而且當然應該嘗試找出您的伺服器是如何被入侵的(如果您啟用了對 SSH 的密碼訪問並且可以從 Internet 訪問,那麼暴力破解密碼是一個合理的猜測),它可能會很難再 100% 確定它們是乾淨的。因此,我個人的目標是盡快更換受影響的系統,方法是從足夠遠的地方恢復備份,或者從頭開始重新配置伺服器。