网站服务器遭黑需要恢复部分文件求高手shell帮助

zhengwei_zw

今天早上8点过发现服务器多了些进程

1. ns# ps ax | grep find
   
2. 17108  ??  D      0:10.76 find / -name *.bash_logout -exec rm -rf {} ;
   
3. 17118  ??  D      0:10.54 find / -name *.bash_logout -exec rm -rf {} ;
   
4. 17119  ??  I      0:00.00 sh -c find / -name "log*" -exec rm -rf {} \\;
   
5. 17120  ??  D      0:06.54 find / -name log* -exec rm -rf {} ;
   
6. 17763  ??  D      0:01.35 find / -name *.log -exec rm -rf {} ;

复制代码

发现

1. ns# lsof -p 72826
   
2. lsof: WARNING: compiled for FreeBSD release 6.2-RELEASE; this is 6.2-RELEASE-p12.
   
3. COMMAND     PID    USER   FD   TYPE     DEVICE SIZE/OFF    NODE NAME
   
4. perl5.8.8 72826 ftpuser  cwd   VDIR       0,88      512       2 /
   
5. perl5.8.8 72826 ftpuser  rtd   VDIR       0,88      512       2 /
   
6. perl5.8.8 72826 ftpuser  txt   VREG       0,93     9424 4263489 /usr/local/bin/perl
   
7. perl5.8.8 72826 ftpuser  txt   VREG       0,88   158712      14 /libexec/ld-elf.so.1
   
8. perl5.8.8 72826 ftpuser  txt   VREG       0,93  1143203 4263970 /usr/local/lib/perl5/5.8.8/mach/CORE/libperl.so
   
9. perl5.8.8 72826 ftpuser  txt   VREG       0,88    98120      18 /lib/libm.so.4
   
10. perl5.8.8 72826 ftpuser  txt   VREG       0,88    28680      16 /lib/libcrypt.so.3
    
11. perl5.8.8 72826 ftpuser  txt   VREG       0,88    43572      22 /lib/libutil.so.5
    
12. perl5.8.8 72826 ftpuser  txt   VREG       0,88   922668      27 /lib/libc.so.6
    
13. perl5.8.8 72826 ftpuser  txt   VREG       0,93    16534 4264173 /usr/local/lib/perl5/5.8.8/mach/auto/IO/IO.so
    
14. perl5.8.8 72826 ftpuser  txt   VREG       0,93    23392 4264361 /usr/local/lib/perl5/5.8.8/mach/auto/Socket/Socket.so
    
15. perl5.8.8 72826 ftpuser    0u  IPv4 0xc6bd2910      0t0     TCP localhost.fangfa.net:9000 (LISTEN)
    
16. perl5.8.8 72826 ftpuser    1w  VREG       0,91     4196       3 /tmp/cmdtemp
    
17. perl5.8.8 72826 ftpuser    2w  VREG       0,91     4196       3 /tmp/cmdtemp
    
18. perl5.8.8 72826 ftpuser    3u  IPv4                 0t0     TCP no PCB, CANTSENDMORE, CANTRCVMORE
    
19. perl5.8.8 72826 ftpuser    4u  IPv4 0xc909d570      0t0     TCP ns.fangfa.net:65425->qnet1.irc.demon.net:ircd (ESTABLISHED)
    
20. perl5.8.8 72826 ftpuser    5u  unix 0xc81952c8      0t0         ->0xc8c549bc
    
21. perl5.8.8 72826 ftpuser    6u  unix 0xc8f126f4      0t0         ->0xcb3db590
    
22. perl5.8.8 72826 ftpuser    7u  unix 0xc8eef164      0t0         ->(none)
    
23. ns# netstat -na|grep 65425-
    
24. ns# netstat -na | grep 65425
    
25. tcp4       0      0  192.168.18.147.65425   194.159.164.211.6667   ESTABLISHED
    
26. ns# netstat -na | grep 194.159.164.211.6667
    
27. tcp4       0      0  192.168.18.147.65425   194.159.164.211.6667   ESTABLISHED
    
28. ns# sockstat -4|grep 65425
    
29. ftpuser  perl5.8.8  73162 4  tcp4   192.168.18.147:65425  194.159.164.211:6667
    
30. ns# kill -9 73162
    
31. ns# sockstat -4 | grep 65425
    
32. ns# sockstat -4 | grep 65425
    
33. ns# netstat -na | grep 194.159.164.211.6667
    
34. tcp4       0      0  192.168.18.147.58864   194.159.164.211.6667   ESTABLISHED
    
35. ns# netstat -na | grep 194.159.164.211
    
36. tcp4       0      0  192.168.18.147.58864   194.159.164.211.6667   ESTABLISHED
    
37. ns# netstat -na | grep 194.159.164.211
    
38. tcp4       0      0  192.168.18.147.58864   194.159.164.211.6667   ESTABLISHED

复制代码

后来发现

1. 17120  ??  D      0:06.54 find / -name log* -exec rm -rf {} ;

复制代码

这个命令把我可还惨了。我的web服务器所有log*给删除了。现在在备份服务器上要恢复这些log*文件
我该怎么办？
备份服务器：

1. backup# find . -name "log*"
   
2. ./www.a.com/db/themes/darkblue_orange/img/logo_left.png
   
3. ./www.a.com/db/themes/darkblue_orange/img/logo_right.png
   
4. ./www.a.com/db/themes/original/img/logo_left.png
   
5. ./www.a.com/db/themes/original/img/logo_right.png
   
6. ……

复制代码

我要 把上面这些文件拷贝到正式服务器上。怎么办？
scp？

HH106

最好是重装
仅仅恢复难保第二次被黑吧？

zhengwei_zw

权限改了下。把perl这些 rm这些改了权限应该不会了

r2007

关键生产系统，应该把log发到专门的日志服务器，这样黑客侵入想抹去痕迹就大大增加了困难，高明的黑客发现这样的系统也不敢轻易动手。除非他非常肯定自己的跳板足够复杂。

zhengwei_zw

搽除日志把我php给删除了。我靠。真垃圾这个黑客
估计不晓得是bsd
删除的都是linux的东西

xiaobaibbb

同情，先控制一下可以ssh的权限，然后再仔细检查一下，如果不能保证系统没有被动过最好再装一次，如果他黑进去 但是不知道是bsd，那估计也不是很强的那种
控制ssh只有你的IP可以连，netstat -ntlp看看端口 看有没有类似vnc类的服务
再看看rc.local inittab /var/log/message
再看看ssh有没有被动过手脚
我知道的就这些了，待高手看能不能再给你点建议了

小木虫子

你的IPTABLES应该这样设置，SSH禁止公网连接，只允许从你公司的IP连接。

你直接把SSH暴露在公网上，被黑是正常的。

Steiny

我是菜鸟，上次将一台机器直接暴露在公网，第二天早上就被黑了，连root密码都改了。

虽然还有一个连接，可以看到入侵者做了一些操作，还是直接重做了系统。

gilet

密码长度，复杂度
tcp_wapper控制
iptables控制
ssh不允许外网连接，用key登录

ywlscpl

把需恢复的文件从备份机上传至生产机上（tar成包传，再在生产机某目录下解开）。

假设生产机上log_backup目录已解开这些文件
例如，目录结构:
/log_backup/www.a.com/db/themes/darkblue_orange/img/logo_left.png
/log_backup/www.a.com/db/themes/darkblue_orange/img/logo_right.png
/log_backup/www.a.com/db/themes/original/img/logo_left.png
/log_backup/www.a.com/db/themes/original/img/logo_right.png

恢复（假设需恢复log*，假设target目录是/xxx/....）

1. find /log_backup -name "log*" | awk '{dir=$0;sub(/^\/log_backup/,"",dir);system("cp -f "$0" /xxx"dir)}'

复制代码

[ 本帖最后由 ywlscpl 于 2009-8-11 16:08 编辑 ]