Возможный дубликат:
Мой сервер был взломан в АВАРИИ
Я управляю парочкой сайтов на Ubuntu через Rackspace Cloud Server. Мой сайт обычно использует около 3 ГБ исходящей пропускной способности в день. Сегодня я был потрясен, обнаружив, что за последнюю неделю мой сервер зарегистрировал 2 Терабайт исходящей пропускной способности в день. Это явно ненормально и стоит мне руки и ноги. Интересно, что awstats показывает, что мои сайты использовали обычную полосу пропускания, поэтому этот нелепый всплеск вызывает что-то еще.
Я подозреваю, что мой сайт взломали. Я проверил root-права, просмотрел журналы сервера и не нашел ничего подозрительного. У вас есть идеи, что еще я могу сделать, чтобы разобраться в этом?
Я бы начал с того, что RackSpace отключил весь исходящий трафик с вашего сервера на брандмауэре, за исключением трафика, который идет с порта 80. Затем настройте новые виртуальные машины, перенесите свои данные и позже проверьте виртуальные машины скомпрометированных машин, используя то, что вы узнали. чтобы лучше защитить ваш новый сервер.