Возможный дубликат:
Мой сервер был взломан в АВАРИИ
Сначала немного справочной информации. Сервер, о котором мы говорим, работает под управлением CentOS 5.6, SSH на порту 22, к которому можно получить доступ через Интернет (плохо, мы знаем), Apache на порту 8080, к которому можно получить доступ через Интернет, и MySQL, к которому нет доступа. по Интернету. Несколько дней назад этот тестовый сервер был взломан из-за очень простого пароля (да, вы найдете его во всем Интернете, плохой ...), поэтому мы его изменили. Конечно, на этот раз мы ввели настоящий пароль, который вы не найдете в Интернете.
До сих пор у всех все было хорошо. Мы просканировали на наличие руткитов, удалили кое-что, что загрузили скриптовые дети (они вошли в систему с помощью SSH), ну, вроде того, что вы обычно делаете. Однако сегодня мы увидели, что взломанный сервер использует столько трафика, что нам просто нужно было проверить, все ли в порядке. Итак, мы вошли в систему по SSH, и что мы увидели? Ага: «Последний вход 21 февраля 22:08 с xxx.xxx.xxx.xxx». И да, тот же IP-адрес, который использовался для входа в систему перед сменой паролей.
Однако на этот раз эти скриптовые дети установили какое-то вредоносное ПО. Очевидно, они создали несколько учетных записей, одна из которых называлась оракул. В нем была папка .mozilla который содержал папку лала. Открыв эту папку, мы увидели то же самое, что и скрипты, которые детки загрузили с учетной записью с действительно небезопасным паролем .. Попытка сделать ps -x, мы видели процесс Zmeu Бег. И не только 1, представьте себе около 50. А теперь несколько вопросов :-)
Как эти скрипачи вошли в систему? Ключи SSH не были загружены, а пароли были изменены. Однако им все же удалось войти в систему ...
Что делает zmeu? Похоже, это как-то связано с phpmyadmin, но мы не используем phpmyadmin. Мы остановили все процессы zmeu, удалили файлы и учетные записи и перезагрузили сервер.
Сеть полностью отключилась. Все было чертовски медленно, пока этот взломанный сервер был подключен к сети. Похоже, это было исправлено удалением Zmeu процессы.
Если вы не очень опытный и опытный профессионал в области безопасности, вам нужно начинать заново и загружать известные чистые данные обратно в новую установку. Даже если ты просто это чертовски хорошо, Я все еще довольно скептически отношусь к тому, чтобы не начинать все заново. Как вы видели, первое, что сделает злоумышленник, даже скрипач, - это оставит себе другой способ проникнуть в следующий раз.
Вам действительно нужно провести полный криминалистический анализ, чтобы получить ответ, но я предполагаю, что они сбросили скрипт где-то на вашем пути к Apache, учитывая активность ZmEu.
Быстрая проверка в Google показывает, что эта программа ищет способы взлома через phpMyAdmin. Ваш злоумышленник использует несколько методов для взлома серверов и использует ваш компьютер для атак с помощью этого метода. Таким образом, даже если ваш первоначальный компромисс был через ssh, они используют его для запуска атак другими способами.
Казалось бы, они израсходовали все доступные им ресурсы для продолжения сканирования. Опять же, я призываю вас начать все заново. Убедитесь, что все файлы, которые вы перезагружаете, в безопасности, с помощью резервного копирования, сделанного до взлома, контроля версий или какой-либо другой системы. В легитимные веб-приложения часто вставляют вредоносный код, чтобы обеспечить доступ в будущем.
Просто для усмешки, пароль был 123456?