被***了,查看了下/var/log/messages和last都已经清理。
sshd : * : spawn /bin/echo %c %d | mail -s '标题'邮箱地址 ---》邮件来报警
一、接着查看 host.allow里面设置,禁止某个可疑ip的访问
二、用rkhunter扫下,是否存在rootkit恶意程序。
鸟哥讲的rkhunter
rkhunter的安装:
2.配置安装
To perform a default installation of RKH simply unpack the tarball and,
as root, run the installation script:
tar zxf rkhunter-.tar.gz
cd rkhunter-
./installer.sh --install
Note: If some form of file permission error is shown, then check that the
'installer.sh' script is executable.
3.简单安装后,就可以进行检测后门
rkhunter --help 查看选项
--checkall (-c):全系統檢測,rkhunter 的所有檢測項目
rkhunter --check
第一部份,先進行 binary 的檢測,包括 MD5 的檢測喔
第一部份,先進行 binary 的檢測,包括 MD5 的檢測喔
在第一部份的檢測當中,主要的工作就是在檢驗一些系統重要的 binary files,# 這些檔案就是常被 root kit 程式包攻擊的範圍!所以首先就得要檢測他們啊!# 接下來進行第二部分的檢測!
第二部分就是在檢測常見的 rootkit 程式包所造成的系統傷害!# 這部分的檢測當然就是針對各個常見的 rootkit 攻擊的檔案/目錄來偵測囉!# 接下來是第三部分的檢測!
这是最后检测的汇总信息
三、检测后,如果哪个服务被设置了后门,则要将其卸载并删除相关文件及文件夹,然后重新安装。
四、接着查看bashrc 文件有没有异常情况。
五、查看网络连接有没有异常
六、查看重要目录(比如/etc)下有没有新创建的文件及目录
find /etc -cmin -10
七、防止***被反弹
首先很多人拿到服务器如果一看是linux的很多时候他们想到的是反弹,那么我目的就是要阻止你反弹! 哼哼!!
看看你网站是以apache还是noboday权限运行。 设置setfacl!比如是apache。那么我们就setfack–m u:apache:--- /bin /sbin 让他们执行不了命令就算他们上传反弹脚本 不能执行撒,如果是php的反弹脚本我还真没遇见过,有遇见的求给!!
其次phpshell自带反弹的,但是它们反弹的时候会在/tmp下创建东西才能成功!!
由于php上传会文件会涉及到临时上传 文件会放在tmp文件下,所以我们不能把tmp封死,但是可以给但是可以让去掉它的执行权限。他不就反弹不了啦!!一样的setfacl
至于内核升级不建议,会出很多问题,如果想稳定的话 ,所以多观察服务器多看日志,等是一个优秀管理应该做的事!