相关疑难解决方法(0)

可能重复：
我的服务器被黑了 紧急情况

我的网站被黑了，但是当我在 ftp 中查看源文件时，一切看起来都很好。我的网站地址：zecel.com 任何人都可以指导我如何修复它并在将来避免它。

谢谢你。

可能重复：
我的服务器被黑了 紧急情况

我已经把所有的安全措施和日志监控工具。现在，但如果发现我的系统上有一些 rootkit，我不知道该怎么办。

如果我的系统上运行着实时站点，并且我也无法关闭服务器。我怎样才能消除感染

关于备份，我应该备份整个 linux 系统还是只是 public_html 目录和数据库。因为我目前只备份那些文件夹。

我有 VPS 并且我的托管公司正在拍摄每日快照，但还有什么其他方法可以确保安全，以便如果我感染了 rootkit，那么我可以恢复它。

我的一个网站一直是“Pharma Hack”的持续目标——但它使用的是 Drupal 而不是 Wordpress 或 Joomla。它是第 6 版，但已更新到最新版本，我安装的所有模块也是如此。

我更改了密码，删除了有问题的文件，完全重新安装了该站点，但不知何故他们继续获得访问权限.. 该站点是一个非营利组织，它严重影响了我们在 Google 等上的搜索结果。

可能重复：
我的服务器被黑了 紧急情况

我在我的家庭网络中安装了 Debian (Squeeze) 来托管一些个人网站（感谢上帝）。

在安装过程中，它提示我输入 root 以外的用户 - 所以我匆忙使用我的名字作为用户并通过（alex/alex 的价值）。

我知道这是可怕的做法，但在设置此服务器期间，我总是以 root 身份登录以执行配置等。

几天或一周过去了，我忘记更改密码。然后我终于完成了我的网站，并在我的路由器和 DynDNS 上打开端口转发以指向我家中的服务器。过去我已经做过很多次了，从来没有出现过问题，但我使用了一个神秘的 root 密码，我猜禁用了常规帐户。

今天我重新格式化了我的 Windows 7，在花了一整天的时间调整和更新 SP1 之后，我寻找克隆应用程序并找到了 clonezilla 并看到它支持 SSH 克隆，所以我经历了这个过程只是为了发现我需要一个用户，所以我登录到我的网站-server 并看到我已经有用户 'alex' 并意识到我不知道密码。所以我把密码改成一些神秘的东西，然后访问目录'home'才发现它们是passfile，bengos等内容。我的心一沉，我被黑了！！！当然有各种各样的脚本和密码文件。

我运行了一个“last”命令，似乎他们最后一次登录是在 4 月 3 日。

题：

1. 我能做些什么来看看他们是否做了破坏性的事情？我应该重新格式化并重新安装吗？
2. Debian/Squeeze 在开箱即用的用户权限方面有多严格——我所有的个人网站内容都是使用“root”创建的，因此似乎没有发生更改文件的情况。
3. 他们如何确定机器上有用户“alex”？你能查询任何机器并弄清楚吗？用户是什么？看起来他们试图运行 IP 扫描......网络上的其他节点正在运行 Windows 7。其中一个最近似乎有点不稳定 - 他们是否有可能破坏了该系统？

我可以采取哪些纠正措施来避免这种情况再次发生？并找出可能发生了什么变化或被黑客入侵的地方？我希望 debian 开箱即用是相当安全的，充其量他设法阅读了我的一些源代码。:p

问候，亚历克斯

可能重复：
我的服务器被黑了 紧急情况

我的 MySQL 数据库每天都被黑客入侵。

黑客正在将其他 cpanel 中的 shell 和文件上传到服务器，并从数据库中获取用户和密码，从基于 Web 的 mysql 管理器登录等。

有什么办法可以阻止本地主机登录到我的数据库吗？还是隐藏桌子？还是有其他想法？

可能重复：
我的服务器被黑了 紧急情况

我的服务器有问题（在 Centos 5 上运行）。

在检查流量时，我运行“$lsof | grep ezbuyinfo”并显示 smtp 端口上的连接过多。

我试过 rkhunter，但没有找到。

然后我检查了我的 web 源代码，我发现了一些奇怪的源代码（.php 和 .pl）。（他们不是我的，我敢肯定）。

我删除了它，杀死进程，重新启动 apache。但是还是有问题。我再次运行 "$lsof | grep ezbuyinfo" 它显示：

###########################################################################################
.......
.......
httpd.pl  7686  ezbuyinfo  cwd       DIR                8,1      4096          2 /
httpd.pl  7686  ezbuyinfo  rtd       DIR                8,1      4096          2 /
httpd.pl  7686  ezbuyinfo  txt       REG                8,1     11380     278644 /usr/bin/perl
httpd.pl  7686  ezbuyinfo  mem       REG                8,1   1693812    1251324 /lib/libc-2.5.so
httpd.pl  7686  ezbuyinfo  mem       REG                8,1    216544    1251325 /lib/libm-2.5.so
httpd.pl  7686  ezbuyinfo  mem       REG …

可能重复：
我的服务器被黑了 紧急情况

我们的客户端 VPN 服务器被黑了，我们更改了密码和 FTP，但它现在每天都在发生:( 有没有人收到像“被 ENES 黑了”之类的被黑消息，请访问“essexdrugaction[dot]org”以了解我的意思.

非常感激任何的帮助。

我们最近受到了黑客的攻击，我们需要能够阻止所有 IP 地址编辑文件，除了我们办公室的文件。我知道如何通过 .htaccess 文件来做到这一点，但是当涉及到服务器端的事情时，我不知所措。不幸的是，我们在 HostGator 使用服务器，他们不能告诉我太多。我不是一个服务器人，所以我什至不确定这是否是最好的路线。

任何有关该主题的指导或帮助将不胜感激。

谢谢！

My email server is attempting to send out a great deal of spam. I'm using Postfix & Dovecot.

I'm trying to diagnose the problem and figure out how this is being sent. My guess right now is that it's using an insecure port 25 to send the email. Does this seem consistent with the logs? How can I fix this?

Dec 29 01:29:22 balloonindustries postfix/smtpd[25536]: connect from m69-77.mailgun.net[166.78.69.77]
Dec 29 01:29:22 balloonindustries postfix/smtpd[25536]: SSL_accept error from m69-77.mailgun.net[166.78.69.77]: 0
Dec 29 …

这是我/我们试图弄清楚发生了什么的绝望时刻。由于谷歌发布一条消息称“此网站可能被黑客入侵”，我们最近遭到黑客攻击并失去了排名/流量。从那时起，我们就毫无用处地清理了 wordpress 网站上的文件/脚本。我们已经安装了新版本的 wordpress 并导入了主题文件 - 再次，没有任何运气。我们非常沮丧，因为我们不知道去哪里寻找，这让我们付出了代价。

我们的设置如下：

Centos OS Wordpress on 4.4 Cloudflare 管理 DNS Apache 安装 Mod_pagespeed 安装

在这一点上，我们有几个脚本，它们在网站的页脚中加载了一些脚本，并且对触发它们的原因一无所知，并认为它们可能是导致我们排名问题的罪魁祸首。

有人可以插话让我们知道您的想法吗？

请参阅随附的屏幕截图

在页脚图像中加载脚本

先感谢您！

我昨天被黑了，出于某种原因，我认为我在我的服务器上一遍又一遍地做的这件事可能有一些缺点，这个问题可能会被弃用，但我需要简单的答案，因为我曾经做过这种做法，以防万一很糟糕，为什么有答案得到了很多人对这种做法的支持？

sudo chown www-data:www-data /var/www -R
cd /var/www
sudo find . -type f -exec chmod 664 {} \;
sudo find . -type d -exec chmod 755 {} \;

所以我只需要像这些命令一样简单的东西来保护我的服务器。谢谢

该问题被标记为重复，但我的受感染服务器并未结束，我正在谈论另一台服务器和特定主题。

可能重复：
我的服务器被黑了 紧急情况

您好，我的整个网站可能被 wordpress 漏洞攻击了，我急于详细解释，但请帮我一个忙，看看以下网站：

http://download.lacaterinca.com/ninoplas-or-cechriecom-base64-virus-on-wordpress-and-all-php-files-how-to-remove-via-ssh-godaddy/

在那里它说：

现在，您必须输入以下内容才能进入您的 html/php 文件和所有安装的文件夹（不要忘记按回车键）：

cd html

你几乎清理了你的网站。必须将以下代码复制粘贴到 PUTTY 窗口中：

找 。-type f -name "*.php" -exec sed -i '/base64_decode/d' {} \;

要粘贴到 PUTTY 窗口中，只需在应插入代码的位置单击鼠标右键。（这里的代码是在所有的 php 文件中搜索 base64_decode 标签，如果找到，则将其与整个恶意软件代码一起删除。这将检查您之前访问过的文件和文件夹下的所有文件和文件夹，在这种情况下“html”文件夹，这是文件的根目录）

谁能告诉我这个人的解释是否属实？

find . -type f -name "*.php" -exec sed -i '/base64_decode/d' {} \;

上面的命令安全吗？它会编辑受感染的文件还是将它们全部删除？

感谢您的回复。

更新：不幸的是，该命令删除了 base64_encode 行所在的整行。问题是这一行还包含<?php文件的开始标记！所以现在，我所有的 index.php 页面（只有 index.php 被感染）显示所有代码而不是执行它:( 是否可以运行另一个命令，<?php在每个不以“开头的 index.php 中添加标签”任意数量的空格<?php“？

更新 2：感谢任何回答的人。也祝贺所有因为在恐慌模式下没有采取正确行动而对某人投反对票的人。如果它发生在您的网站上，祝您好运...

可能重复：
我的服务器被黑了 紧急情况

视窗 2000 服务器。

我相信我有一个rootkit。但是，没有什么可以删除它。我什么都试过了。即使仅用于扫描的工具也会失败或使计算机崩溃。

由于没有任何效果，我想尝试手动完成。

编辑：这是一个 Windows 2000 Server 林根。我无法在不炸毁域的情况下重建它。