服务器被入侵，root失守，sos

seskissinger

我也是网管，加我qq一起学习吧！52775099

platinum

最好的办法是拔掉网线、备份数据、重装系统、加强安全意识

123router_liu

把2个文件删除，重新建立一个，或者更改这2个文件。删除不要的用户。更改密码。停止不需要的服务。把文件权限限制。拒绝更改密码等

xB1ue

禁止所有从服务器发起的主动连接。
k.c 不过是一个比较烂的反弹程序而已，把自启动信息写进了 rc.local 或者 rc.conf 里面

不过怕就怕k.c不过是个障眼法，有更狠的招数在后面，天生拿到root了，又没有等级保护，谁知道他做了什么，你能看到的是 bash / login，你没看到的呢？也许是 LKM，也许是 rootkit，甚至连 kernel 都给你修改了重编译
who knows~~~

还是按3楼说的，断网，备份数据，重做系统，再恢复吧。。。不过重做之前最好能分析分析看看是从哪里被突破的，以及整个手法，呵呵，知己知彼嘛

Good Luck

孤独的鹰

k.c初略的看看
应该就是个反弹后门
只是不知道他怎么进来获得ROOT权限的
密码简单？
LZ方便的话 提供一下服务器版本和应用的情况

包子

同求楼主服务器发行版版本和应用版本

孤独的鹰

VNC 只有bypass漏洞啊
是不是你们jsp应用写的有bug
或者tomcat管理界面没设置密码