问题描述:
我的服务器托管在 BGP 机房,为了方便,我关闭了 CentOS 自带的防火墙 iptables。有一天忽然发现服务器上的所有网站无法访问了,于是我用 putty 连接到服务器,发现 jsp 服务器(tomcat)停止了,于是我重新启动 tomcat,但是无法启动,接下来我根据 tomcat 的报错日志,发现 java 运行环境 jre 被破坏掉了,于是我重装了 jre,tomcat 顺利启动。
本来以为问题已经解决,当我正要关掉 putty 的时候,在 root 用户的 home 目录下,发现了几个未曾见过的文件:
●
[*]g0tr00t.sh
[*]conf.n
[*]25000_Tnt
[*].i386ctrol
[*].i391
[*].i686ctrol
[*].691
然后我就通过 find 命令全盘寻找类似文件,结果在jsp服务器(tomcat)的 bin 目录下也发现了类似的文件,除了上边提到的文件,/usr/local/tomcat/bin 目录下还存在如下文件:
●
[*]xave
[*]xave.1
[*]youni
[*]youni.1
[*]younih
[*]等等一些其他的文件
另外,我在 /tmp 目录下也发现了这些文件,我发现这些文件全部是 root 用户创建的,我立刻把这些文件删除,然后修改 root 密码,可是今天这些文件又在 /usr/local/tomcat/bin 目录下出现了。
发帖意图:
因为我服务器上部署了许多的网站,有2个网站的数据是极其重要的,因此我请求大家给一些建议,我应该怎么做,怎么去处理这些问题。我并没有做 Linux 管理的经验,只是对 Linux 有一些了解,大部分的常用命令也是能熟练使用的。
题外话:
我之前在看雪有一个帐号 gothyeti,但是由于工作原因长时间没有使用,密码忘记了,我曾通过找回密码功能试图找回密码,但是由于 gmail 邮箱被封锁严重,我无法打开,于是新建了这个帐号,等了整整一天以后才能在临时板发帖的。
被入侵后的补充更新:
今天是 2014-10-12 我在 /usr/local/tomcat/bin 下又发现了很多没有见过的文件,如下:
-rw-r--r-- 1 root root 24 10月 11 18:55 cmd.n
-rw-r--r-- 1 root root 80 10月 12 02:02 conf.n
-rw-r--r-- 1 root root 26 10月 12 2014 daemon
-rwxrwxr-x 1 root root 402752 10月 11 13:19 indexo
-rw-r--r-- 1 root root 402752 10月 11 13:19 indexo.1
-rwxrwxr-x 1 root root 1189247 10月 11 21:12 L26_25000
-rw-r--r-- 1 root root 1189247 10月 11 21:12 L26_25000.1
-rw-r--r-- 1 root root 1189247 10月 12 01:48 L26_25000.2
-rw-r--r-- 1 root root 1189247 10月 11 21:12 L26_25000.3
-rw-r--r-- 1 root root 19422 5月 18 16:18 Linux_Exploit_Suggester.pl
-rw-r--r-- 1 root root 19422 5月 18 16:18 Linux_Exploit_Suggester.pl.1
-rw-r--r-- 1 root root 19422 5月 18 16:18 Linux_Exploit_Suggester.pl.2
-rw-r--r-- 1 root root 19422 5月 18 16:18 Linux_Exploit_Suggester.pl.3
-rwxrwxrwx 1 root root 1189247 10月 2 19:44 Tnt_141002
-rw-r--r-- 1 root root 1189247 10月 2 19:44 Tnt_141002.1
我发现 /etc/passwd 近期被修改过,最后加入了一条:
somesecguy:x:508:0::/home/somesecguy:/bin/bash
一波未平一波又起,服务器被入侵还没有解决,今天公司网络严重不正常,被ARP攻击了。。。。。
[课程]Linux pwn 探索篇!