CenterOS服务器被黑了，最简单的防范办法是什么？

lookin

我比较粗心，网站上传目录Upload的权限设置成777了，结果发现目录内有一些非正常的文件，\r\n例如：alfor.php, alfor2.php 1.c, 2.c, root.c, s.c等等，好像是通过漏洞取root权限的\r\n还有几个htm文件，里面好像是土耳其的文字，看了一下确实是被黑了\r\n\r\n\r\n我想问一下，有经验的兄弟，我该如何操作呢？访问服务器的SSH我都设置成通过密钥来授权的，他应该不是通过破解root密码进来的\r\n但是他是通过什么方式进来的？破解ftp密码后再上传文件吗？如何得知他是否已经取得root权限？\r\n现在root密码应该立刻替换，然后还要注意一些什么问题呢？

flb_2001

CenterOS服务器是什么服务器啊

lookin

不好意思，写的比较着急，应该是装有CentOS操作系统的服务器

lookin

如何知道是否被人窃取了root权限？我发现/var/log中message都被清空了\r\n下面是 ps -A列出的进程，能帮我看看是否有可疑的进程？\r\n\r\n[root@ides root]# ps -A\r\n  PID TTY          TIME CMD\r\n    1 ?        00:01:56 init\r\n    2 ?        00:00:00 migration/0\r\n    3 ?        00:00:00 migration/1\r\n    4 ?        00:00:00 migration/2\r\n    5 ?        00:00:00 migration/3\r\n    6 ?        00:00:00 keventd\r\n    7 ?        00:00:00 ksoftirqd/0\r\n    8 ?        00:00:00 ksoftirqd/1\r\n    9 ?        00:00:00 ksoftirqd/2\r\n   10 ?        00:00:00 ksoftirqd/3\r\n   13 ?        00:00:00 bdflush\r\n   11 ?        00:00:32 kswapd\r\n   12 ?        00:09:18 kscand\r\n   14 ?        00:00:45 kupdated\r\n   15 ?        00:00:00 mdrecoveryd\r\n   26 ?        00:00:00 raid1d\r\n   27 ?        00:00:00 raid1d\r\n   28 ?        00:00:00 raid1d\r\n   29 ?        00:00:00 raid1d\r\n   30 ?        00:00:00 raid1d\r\n   31 ?        00:00:49 kjournald\r\n   85 ?        00:00:00 khubd\r\n  612 ?        00:00:00 kjournald\r\n  613 ?        00:01:15 kjournald\r\n  614 ?        00:02:14 kjournald\r\n  900 ?        00:01:56 syslogd\r\n  904 ?        00:00:00 klogd\r\n  914 ?        00:11:01 sshd\r\n  926 ?        00:00:00 vsftpd\r\n  942 ?        00:00:00 safe_mysqld\r\n  978 ?        00:00:34 mysqld\r\n  979 ?        00:01:23 mysqld\r\n  980 ?        00:00:00 mysqld\r\n  981 ?        00:00:00 mysqld\r\n  982 ?        00:00:00 mysqld\r\n  983 ?        00:00:00 mysqld\r\n  984 ?        00:09:32 mysqld\r\n  985 ?        00:13:25 mysqld\r\n  986 ?        00:00:00 mysqld\r\n  987 ?        00:00:50 mysqld\r\n  988 ?        00:02:05 httpd\r\n  999 ?        00:00:05 crond\r\n 1014 tty1     00:00:00 mingetty\r\n 1015 tty2     00:00:00 mingetty\r\n 1016 tty3     00:00:00 mingetty\r\n 1017 tty4     00:00:00 mingetty\r\n 1018 tty5     00:00:00 mingetty\r\n 1019 tty6     00:00:00 mingetty\r\n21989 ?        00:01:44 master\r\n18237 ?        00:00:07 httpd\r\n30888 ?        00:00:07 httpd\r\n30892 ?        00:00:07 httpd\r\n30914 ?        00:00:08 httpd\r\n30919 ?        00:00:08 httpd\r\n30925 ?        00:00:07 httpd\r\n30951 ?        00:00:08 httpd\r\n14937 ?        00:00:08 httpd\r\n15956 ?        00:00:07 httpd\r\n24501 ?        00:00:06 httpd\r\n25296 ?        00:00:06 httpd\r\n16322 ?        00:00:05 httpd\r\n23171 ?        00:00:04 httpd\r\n30309 ?        00:00:04 httpd\r\n 1979 ?        00:00:04 httpd\r\n21356 ?        00:00:04 httpd\r\n 7641 ?        00:00:02 nqmgr\r\n17225 ?        00:00:00 httpd\r\n17226 ?        00:00:00 httpd\r\n17940 ?        00:00:00 httpd\r\n17943 ?        00:00:00 httpd\r\n21770 ?        00:00:00 pickup\r\n21880 ?        00:00:00 sshd\r\n21882 pts/0    00:00:00 bash\r\n21928 pts/0    00:00:00 ps

flb_2001

Upload权限修改，\r\nroot密码修改

ruochen

重新安装吧\r\n\r\n植入一些rootkit是很难发现的

lookin

多谢\r\n看来只有重装系统最保险点，还好他们没有胡乱删除服务器中的数据

flb_2001

怎么知道没有删除数据呢

lock0n

这个要看你对存放数据的熟悉程度了