web-dev-qa-db-ja.com

助けて!私のサーバーがハッキングされました-/ bootの.IptabLesと.IptabLex

Ubuntu 6.06 dapperサーバーを実行していますが、ハッキングされました。ここでは、システム管理者ではなくプログラマーであるため、ここで何年もUnix/Linuxを扱ってきましたが、システム管理者としてのスキルは非常に弱いと認めます。

Apache 2とTomcatを実行しているWebサイトをホストして、JavaベースのStruts Webアプリケーションを提供しています。サイトのパフォーマンスは非常に悪くなり、問題を理解しようとしていましたが、ホームディレクトリの一時ディレクトリがgetsetup.hb。*というファイルでいっぱいになっていることがわかりました。

これは新しいので、もう少し掘り下げてps -efを実行すると、知らない間に実行されているプロセスがいくつかあることがわかり、/ boot/.IptabLesと/ boot /のように見えました。 IptabLex

これらのファイルが何であるかについての手がかりをウェブで検索し、netstatを実行して、接続されている外部ホストを確認しました。 .IptabLesと.IptabLexの両方は、China Telecomに属するIPアドレスに接続されていました。

Iptablesファイアウォールソフトウェアを構成してポート80のWebサーバーへの接続のみを許可し、ポート22のsshが自宅で使用する静的IPに制限されているため、サーバーにリモートアクセスできるため、これはショックでした。

プロセスを強制終了し、/ bootディレクトリからファイルを削除し、削除したルートと/ usrのコピーも見つけました。ルートパスワードも変更しました。

今日再びログインすると、ファイルがすべて元に戻り、China Telecom IPへの接続が再確立されました。

ここでの進め方がわかりません。私の無知を許してください。しかし、私は誰かがこれを解決するためにここから進む方法について私に指示できることを望んでいます。どんな提案でも大歓迎です。

前もって感謝します。

マイク

3
user237315

トーマスがコメント6.06で言ったように、人生の終わりを過ぎたところである。 Linuxの人をできるだけ早く雇って、アップグレードプロセスを手伝う必要があります。

それまでの間、パニックに陥らないでください!次の人気トピックをリラックスして読んでください。

サーバーが侵害されたことをどのように確認しますか?

Linuxサーバーがハッキングされているかどうかを知る方法

次の正規の質問を読んで、侵害されたサーバーに対処する最良の方法を見つけることを願っています。

侵害されたサーバーにどのように対処しますか?

幸運を!

3
Achu

上記のコメントで提案されたとおりに行いますが、サーバーをオフラインにするを忘れないでください。ボットネットに追加された場合、他のマシンを攻撃したり、他のマシンを攻撃したりしません通過しています。

ファイルを削除します。マシンにftp/sshがある場合は、これらの構成ファイルもすべて削除します*。これらのファイルにはRSAキーなどが含まれている可能性があるため、ハッキングする人はパスワードを必要としません。しかし、それは問題を解決しません、再インストールだけがそれをします:

*構成ファイルは、ホームディレクトリの.ssh/などにあり、/root/などにもあります。

0
Wilf