今天早上连接到我的Ubuntu VPS时，我的本地计算机突然抱怨我的私钥：

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0644 for '/home/noah/.ssh/id_rsa' are too open.
It is recommended that your private key files are NOT accessible by others.
This private key will be ignored.
bad permissions: ignore key: /home/noah/.ssh/id_rsa

我想有可能我不小心以某种方式递归地设置了权限，但我认为这不太可能......我想知道这是否可能是某种恶意软件的结果？我已将权限改回 600，警告消失了。

我的 postmaster@mydomain.com 刚刚收到以下“未送达邮件”

这是否意味着有人可能试图（或成功）入侵我？

（出于隐私目的，我替换了下面的某些部分，这不是我在这里收到的 100% 原件。）

This is the mail system at host mydomain.com.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to <postmaster>

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

<ubahreasons@yahoo.com>: host mta7.am0.yahoodns.net[98.138.112.35] said: 554
    delivery error: dd Sorry your message to …

我继承了一个被黑客入侵的 Linux Apache CentOS plesk 服务器，它的网站正在生产中。

我的朋友建议我从头开始重建它，因为攻击显然非常普遍，而且很难检测到明显的破坏。

我从未重建过服务器，而且我一开始也没有设置服务器，所以我要问的是，是否有关于如何实现重建和恢复一切的食谱或易于遵循的清单?

我的系统是 CentOS 6.1，/var/log目录不见了，可能是什么问题？我创建了一个新的/var/log，6 小时后它又消失了。

是否有任何我可以检查的系统日志？

可能重复：
我的服务器被黑了 紧急情况

有一个文件会一直感染此代码。我不明白为什么。所以我想记录谁上传或更改文件。有没有办法记录谁上传或更改了特定文件？

PS：没有FTP登录。我们只使用 SSH 和 Plesk。

我在 Ubuntu 8.04 LTS 上运行 Plesk 9.5 并且有大约 15 个网站感染了一些附加到 java 文件末尾的恶意代码。我已经安装的ClamAV，它已成功地拾取装置具有既起的格局被感染的文件/*km0ae9gr6m*/或/*gootkitstart*/与结尾/*qhk6sa6g1c*/或/*gootkitend*/

我的 Plesk 面板是最新的并且安装了安全补丁。如何隔离服务器上的安全漏洞？

可能重复：
我的服务器被黑了 紧急情况

突然，ssh 声称我服务器上的密钥已更改。

由于更改了密钥，甚至 freenx 也不再接受我的连接。

反正没有什么重要的。

但是我如何验证它是否被破坏？

谢谢

可能的重复：
如何处理受感染的服务器？

我注意到我的 Windows Web Server 2008 R2 x64 服务器上出现了一些不寻常的网络行为，当我在 Resource Monitor 上进行调查时，我注意到这与使用 PID 3148 连接到“svchost.exe (termsvcs)”的未知 IP 有关。我的连接到服务也显示为一个单独的实例。

平均 15-30 kB/sec 被发送到这个 IP，它似乎每隔几秒钟就会爆发一次。我按照 PID 到 TermService - 远程桌面服务。我重新启动了服务，未知 IP 似乎断开连接，很快连接了一个新 IP。

在任务管理器的用户选项卡上，只连接了一个用户（我）。

我应该担心吗？谢谢 ：）

这是一个只有几天大的系统，上面没有安装太多：

完整的 Windows 更新

特工 Ransack（mythicsoft 的搜索工具）

乌龟SVN

视觉SVN

压缩包

MSSQL

我的 Windows 2008 R2 服务器收到了大量的登录尝试。
我猜有人在进行蛮力攻击。
有趣的是，我们的 MySQL 配置文件昨晚被删除了，所以他们一定是通过某种方式进入的。但与此同时，我的事件日志中充满了这些消息：

A Windows Filtering Platform filter has been changed.

Subject:
    Security ID:        LOCAL SERVICE
    Account Name:       NT AUTHORITY\LOCAL SERVICE

Process Information:
    Process ID: 1184

Provider Information:
    ID:     {decc16ca-3f33-4346-be1e-8fb4ae0f3d62}
    Name:       Microsoft Corporation

Change Information:
    Change Type:    Delete

Filter Information:
    ID:     {3798315c-c633-46ee-8421-89dab23673e9}
    Name:       File and Printer Sharing (Spooler Service - RPC-EPMAP)
    Type:       Not persistent
    Run-Time ID:    3444308

Layer Information:
    ID:     {e1cd9fe7-f4b5-4273-96c0-592e487b8650}
    Name:       ALE Receive/Accept v4 Layer
    Run-Time ID:    44

Callout Information:
    ID:     {00000000-0000-0000-0000-000000000000}
    Name: …

我不明白为什么 root 用户会占用巨大的 CPU 负载，因为没有特殊的进程在运行。

top -c