Возможный дубликат:
Мой сервер был взломан в АВАРИИ
Моя машина Linux (CentOS 5.x), похоже, подверглась атаке. Отслеживались действия по сканированию портов. Однако просканированные (подлежащие) сканированию порты были только 8080. В качестве временной меры я обновил правила iptables, чтобы отбросить весь исходящий трафик с машины на порт 8080.
Однако: 1. Я хотел бы убедиться, действительно ли моя машина была взломана. 2. Кроме того, если это действительно сканирование портов, будет ли оно ограничено одним портом 8080? 3. И самое главное, если машина заражена каким-либо вредоносным ПО, вызывающим сканирование портов, как я могу снова очистить ее?
Спасибо
Есть много разных способов, которыми злоумышленник может использовать вашу систему для атаки на другие сайты, я расскажу о нескольких наиболее распространенных.
Кто-то получил удаленный доступ к вашей системе.
Это может произойти из-за слабого пароля SSH, плохих правил брандмауэра или использования уязвимых программ, запущенных на вашем сервере. Первое, что я бы проверил, это (с iptables блок удален на короткий период) является результатом netstat -anp. Если вы видите подозрительные исходящие соединения tcp / 8080, возьмите PID из последнего столбца и посмотрите, какой процесс они исходят.
Если оскорбительный процесс httpd, nginxи т. д. переходите к следующему разделу, в противном случае вам следует взглянуть на этот вопрос:
Как мне поступить с взломанным сервером?
Кто-то использует сценарий, размещенный на вашем веб-сервере.
Если оскорбительный процесс - это веб-сервер или что-то вроде FastCGI, это, скорее всего, так. Это очень часто встречается с PHP и Perl :: CGI, но, конечно, может происходить с любым языком. Скрипт, который вы используете, написан плохо, или версия Perl / PHP / и т. Д. уязвим для нападения. Вы можете использовать журналы доступа (например, /var/log/httpd/access_log), чтобы увидеть, какой сценарий повторяется (и откуда!), и удалить или исправить его.
В любом случае вам также следует регулярно обновлять свой сервер.