免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
12下一页
最近访问板块 发新帖
查看: 3225 | 回复: 10
打印 上一主题 下一主题

网站服务器遭黑需要恢复部分文件求高手shell帮助 [复制链接]

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2009-07-09 15:09 |只看该作者 |倒序浏览
今天早上8点过发现服务器多了些进程
  1. ns# ps ax | grep find
  2. 17108  ??  D      0:10.76 find / -name *.bash_logout -exec rm -rf {} ;
  3. 17118  ??  D      0:10.54 find / -name *.bash_logout -exec rm -rf {} ;
  4. 17119  ??  I      0:00.00 sh -c find / -name "log*" -exec rm -rf {} \\;
  5. 17120  ??  D      0:06.54 find / -name log* -exec rm -rf {} ;
  6. 17763  ??  D      0:01.35 find / -name *.log -exec rm -rf {} ;
复制代码


发现
  1. ns# lsof -p 72826
  2. lsof: WARNING: compiled for FreeBSD release 6.2-RELEASE; this is 6.2-RELEASE-p12.
  3. COMMAND     PID    USER   FD   TYPE     DEVICE SIZE/OFF    NODE NAME
  4. perl5.8.8 72826 ftpuser  cwd   VDIR       0,88      512       2 /
  5. perl5.8.8 72826 ftpuser  rtd   VDIR       0,88      512       2 /
  6. perl5.8.8 72826 ftpuser  txt   VREG       0,93     9424 4263489 /usr/local/bin/perl
  7. perl5.8.8 72826 ftpuser  txt   VREG       0,88   158712      14 /libexec/ld-elf.so.1
  8. perl5.8.8 72826 ftpuser  txt   VREG       0,93  1143203 4263970 /usr/local/lib/perl5/5.8.8/mach/CORE/libperl.so
  9. perl5.8.8 72826 ftpuser  txt   VREG       0,88    98120      18 /lib/libm.so.4
  10. perl5.8.8 72826 ftpuser  txt   VREG       0,88    28680      16 /lib/libcrypt.so.3
  11. perl5.8.8 72826 ftpuser  txt   VREG       0,88    43572      22 /lib/libutil.so.5
  12. perl5.8.8 72826 ftpuser  txt   VREG       0,88   922668      27 /lib/libc.so.6
  13. perl5.8.8 72826 ftpuser  txt   VREG       0,93    16534 4264173 /usr/local/lib/perl5/5.8.8/mach/auto/IO/IO.so
  14. perl5.8.8 72826 ftpuser  txt   VREG       0,93    23392 4264361 /usr/local/lib/perl5/5.8.8/mach/auto/Socket/Socket.so
  15. perl5.8.8 72826 ftpuser    0u  IPv4 0xc6bd2910      0t0     TCP localhost.fangfa.net:9000 (LISTEN)
  16. perl5.8.8 72826 ftpuser    1w  VREG       0,91     4196       3 /tmp/cmdtemp
  17. perl5.8.8 72826 ftpuser    2w  VREG       0,91     4196       3 /tmp/cmdtemp
  18. perl5.8.8 72826 ftpuser    3u  IPv4                 0t0     TCP no PCB, CANTSENDMORE, CANTRCVMORE
  19. perl5.8.8 72826 ftpuser    4u  IPv4 0xc909d570      0t0     TCP ns.fangfa.net:65425->qnet1.irc.demon.net:ircd (ESTABLISHED)
  20. perl5.8.8 72826 ftpuser    5u  unix 0xc81952c8      0t0         ->0xc8c549bc
  21. perl5.8.8 72826 ftpuser    6u  unix 0xc8f126f4      0t0         ->0xcb3db590
  22. perl5.8.8 72826 ftpuser    7u  unix 0xc8eef164      0t0         ->(none)
  23. ns# netstat -na|grep 65425-
  24. ns# netstat -na | grep 65425
  25. tcp4       0      0  192.168.18.147.65425   194.159.164.211.6667   ESTABLISHED
  26. ns# netstat -na | grep 194.159.164.211.6667
  27. tcp4       0      0  192.168.18.147.65425   194.159.164.211.6667   ESTABLISHED
  28. ns# sockstat -4|grep 65425
  29. ftpuser  perl5.8.8  73162 4  tcp4   192.168.18.147:65425  194.159.164.211:6667
  30. ns# kill -9 73162
  31. ns# sockstat -4 | grep 65425
  32. ns# sockstat -4 | grep 65425
  33. ns# netstat -na | grep 194.159.164.211.6667
  34. tcp4       0      0  192.168.18.147.58864   194.159.164.211.6667   ESTABLISHED
  35. ns# netstat -na | grep 194.159.164.211
  36. tcp4       0      0  192.168.18.147.58864   194.159.164.211.6667   ESTABLISHED
  37. ns# netstat -na | grep 194.159.164.211
  38. tcp4       0      0  192.168.18.147.58864   194.159.164.211.6667   ESTABLISHED
复制代码


后来发现
  1. 17120  ??  D      0:06.54 find / -name log* -exec rm -rf {} ;
复制代码

这个命令把我可还惨了。我的web服务器所有log*给删除了。现在在备份服务器上要恢复这些log*文件
我该怎么办?
备份服务器:
  1. backup# find . -name "log*"
  2. ./www.a.com/db/themes/darkblue_orange/img/logo_left.png
  3. ./www.a.com/db/themes/darkblue_orange/img/logo_right.png
  4. ./www.a.com/db/themes/original/img/logo_left.png
  5. ./www.a.com/db/themes/original/img/logo_right.png
  6. ……
复制代码

我要 把上面这些文件拷贝到正式服务器上。怎么办?
scp?

论坛徽章:
9
2015亚冠之阿尔纳斯尔
日期:2015-09-10 16:21:162015亚冠之塔什干火车头
日期:2015-07-01 16:23:022015年亚洲杯之巴勒斯坦
日期:2015-04-20 17:19:46子鼠
日期:2014-11-13 09:51:26未羊
日期:2014-08-28 18:13:36技术图书徽章
日期:2014-02-21 09:30:15酉鸡
日期:2014-01-14 11:12:49天蝎座
日期:2013-12-09 17:56:53平安夜徽章
日期:2015-12-26 00:06:30
2 [报告]
发表于 2009-07-09 15:15 |只看该作者
最好是重装
仅仅恢复难保第二次被黑吧?

论坛徽章:
0
3 [报告]
发表于 2009-07-09 15:22 |只看该作者
权限改了下。把perl这些 rm这些改了权限应该不会了

论坛徽章:
7
荣誉版主
日期:2011-11-23 16:44:17子鼠
日期:2014-07-24 15:38:07狮子座
日期:2014-07-24 11:00:54巨蟹座
日期:2014-07-21 19:03:10双子座
日期:2014-05-22 12:00:09卯兔
日期:2014-05-08 19:43:17卯兔
日期:2014-08-22 13:39:09
4 [报告]
发表于 2009-07-09 15:41 |只看该作者
关键生产系统,应该把log发到专门的日志服务器,这样黑客侵入想抹去痕迹就大大增加了困难,高明的黑客发现这样的系统也不敢轻易动手。除非他非常肯定自己的跳板足够复杂。

论坛徽章:
0
5 [报告]
发表于 2009-07-09 15:48 |只看该作者
搽除日志把我php给删除了。我靠。真垃圾这个黑客
估计不晓得是bsd
删除的都是linux的东西

论坛徽章:
1
巨蟹座
日期:2014-06-04 13:33:30
6 [报告]
发表于 2009-07-09 16:02 |只看该作者
同情,先控制一下可以ssh的权限,然后再仔细检查一下,如果不能保证系统没有被动过最好再装一次,如果他黑进去 但是不知道是bsd,那估计也不是很强的那种
控制ssh只有你的IP可以连,netstat -ntlp看看端口 看有没有类似vnc类的服务
再看看rc.local inittab /var/log/message
再看看ssh有没有被动过手脚
我知道的就这些了,待高手看能不能再给你点建议了

论坛徽章:
0
7 [报告]
发表于 2009-08-11 14:59 |只看该作者
你的IPTABLES应该这样设置,SSH禁止公网连接,只允许从你公司的IP连接。

你直接把SSH暴露在公网上,被黑是正常的。

论坛徽章:
0
8 [报告]
发表于 2009-08-11 15:07 |只看该作者
我是菜鸟,上次将一台机器直接暴露在公网,第二天早上就被黑了,连root密码都改了。

虽然还有一个连接,可以看到入侵者做了一些操作,还是直接重做了系统。

论坛徽章:
18
巳蛇
日期:2014-12-03 08:27:5115-16赛季CBA联赛之吉林
日期:2016-04-18 15:24:24qiaoba
日期:2016-06-17 17:41:1615-16赛季CBA联赛之八一
日期:2016-06-20 15:13:1415-16赛季CBA联赛之广夏
日期:2016-06-29 10:38:28极客徽章
日期:2016-12-07 14:03:4015-16赛季CBA联赛之吉林
日期:2017-03-06 13:47:55
9 [报告]
发表于 2009-08-11 15:22 |只看该作者
密码长度,复杂度
tcp_wapper控制
iptables控制
ssh不允许外网连接,用key登录

论坛徽章:
0
10 [报告]
发表于 2009-08-11 15:54 |只看该作者
把需恢复的文件从备份机上传至生产机上(tar成包传,再在生产机某目录下解开)。

假设生产机上log_backup目录已解开这些文件
例如,目录结构:
/log_backup/www.a.com/db/themes/darkblue_orange/img/logo_left.png
/log_backup/www.a.com/db/themes/darkblue_orange/img/logo_right.png
/log_backup/www.a.com/db/themes/original/img/logo_left.png
/log_backup/www.a.com/db/themes/original/img/logo_right.png

恢复(假设需恢复log*,假设target目录是/xxx/....)
  1. find /log_backup -name "log*" | awk '{dir=$0;sub(/^\/log_backup/,"",dir);system("cp -f "$0" /xxx"dir)}'
复制代码

[ 本帖最后由 ywlscpl 于 2009-8-11 16:08 编辑 ]
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP