[已解决]服务器有木马,没有解决的头绪,求助
-
- 帖子: 8
- 注册时间: 2013-10-15 17:04
- 系统: winXP+debian7.0
[已解决]服务器有木马,没有解决的头绪,求助
站点是discuz,是从别人手里搬家过来,严格按网上教程搬家,现在用的是discuz x3.2
目前状况是大量异常对外的链接,链接的IP地址和端口过几天就会换一次。
这里是发帖当天的截图
附件是发帖当天的 netsta 截图
有没有大神帮忙看看,给点思路了也可以啊,服务器已经重装过一次了。
目前状况是大量异常对外的链接,链接的IP地址和端口过几天就会换一次。
这里是发帖当天的截图
附件是发帖当天的 netsta 截图
有没有大神帮忙看看,给点思路了也可以啊,服务器已经重装过一次了。
上次由 zoll3314 在 2017-03-01 14:41,总共编辑 1 次。
- 九天星
- 帖子: 1440
- 注册时间: 2007-07-14 20:45
Re: 服务器有木马,没有解决的头绪,求助
用htop结合netstat -ap | grep 36606 ,看是哪个文件在对外链接,找到那个文件,备份,删除!
-
- 帖子: 893
- 注册时间: 2011-02-14 17:46
Re: 服务器有木马,没有解决的头绪,求助
https这个进程是啥?
-
- 论坛版主
- 帖子: 5260
- 注册时间: 2007-01-14 16:23
Re: 服务器有木马,没有解决的头绪,求助
分区表有重新写没,mbr(如果是)有重新写没,密码改掉没(这个没啥好说的),迁移的数据检查没(如果木马在里面躺着),还有,系统更新没,php打好补丁没(要是0day,只能自己想办法,但是是已知的话,说啥呢)
#include <stdio.h>
void main()
{
double world;
unsigned letter;
short stay;
long memories;
printf("I miss you.\n");
}
void main()
{
double world;
unsigned letter;
short stay;
long memories;
printf("I miss you.\n");
}
- 九天星
- 帖子: 1440
- 注册时间: 2007-07-14 20:45
Re: 服务器有木马,没有解决的头绪,求助
https不是进程,是一个加密协议,HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。rosynirvana 写了:https这个进程是啥?
-
- 帖子: 893
- 注册时间: 2011-02-14 17:46
Re: 服务器有木马,没有解决的头绪,求助
……九天星 写了:https不是进程,是一个加密协议,HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。rosynirvana 写了:https这个进程是啥?
你看他的贴图PID/Program一栏
- 九天星
- 帖子: 1440
- 注册时间: 2007-07-14 20:45
Re: 服务器有木马,没有解决的头绪,求助
rosynirvana 写了:……九天星 写了:https不是进程,是一个加密协议,HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。rosynirvana 写了:https这个进程是啥?
你看他的贴图PID/Program一栏
是啊,这也是我觉得不正常的地方,1、本地IP地址没有显示,2,本地主动向外80端口发送数据包,
我在想,这部服务器是否还有其他功能??? 也可以查一下33用户有哪些权限!
你可以根据htop 的PID地址与netstat 结合起来看一下,看到底是伪装成协议的进程,还是真协议
-
- 帖子: 8
- 注册时间: 2013-10-15 17:04
- 系统: winXP+debian7.0
Re: 服务器有木马,没有解决的头绪,求助
感谢,各位的回复。补充一下服务器相关信息。
本机IP地址是被我隐去了。下半部分连接80端口是正常的网页连接。上半部分主动链接6969等端口是异常行为。33是debian/ubuntu先apache2用的www-data用户。
我尝试了一下查看htop,没有发现太多信息。htop提供的信息类似与top和ps的综合之前已经check过了。
郁闷啊~~~~~
本机IP地址是被我隐去了。下半部分连接80端口是正常的网页连接。上半部分主动链接6969等端口是异常行为。33是debian/ubuntu先apache2用的www-data用户。
我尝试了一下查看htop,没有发现太多信息。htop提供的信息类似与top和ps的综合之前已经check过了。
郁闷啊~~~~~
-
- 帖子: 8
- 注册时间: 2013-10-15 17:04
- 系统: winXP+debian7.0
Re: 服务器有木马,没有解决的头绪,求助
问题暂时解决了。
没有办法写了一段小程序check了/bin/和/usr/sbin/下所有文件的hash值,并另一台正常的服务器比较,发现sshd文件有问题。重新安装openssh-server和openssh-clint,重启服务器。然后看样子就异常链接都没有了。可能是sshhd文件被替换了。
此外还发现/phpmyadmin/script/setup.php/文件多次异常访问,并不定期的会造成anapche2锁死。现在已经限定了phpmyadnin的访问地址。
大概情况如上所述,不知道攻击路径,攻击方法,但是目前没有症状了。
记录于此,以便他人。
没有办法写了一段小程序check了/bin/和/usr/sbin/下所有文件的hash值,并另一台正常的服务器比较,发现sshd文件有问题。重新安装openssh-server和openssh-clint,重启服务器。然后看样子就异常链接都没有了。可能是sshhd文件被替换了。
此外还发现/phpmyadmin/script/setup.php/文件多次异常访问,并不定期的会造成anapche2锁死。现在已经限定了phpmyadnin的访问地址。
大概情况如上所述,不知道攻击路径,攻击方法,但是目前没有症状了。
记录于此,以便他人。
- 九天星
- 帖子: 1440
- 注册时间: 2007-07-14 20:45
Re: 服务器有木马,没有解决的头绪,求助
就以这张图举例,这张图是netstat的显示结果,在最后有个PID3177 你再结合htop看一下PID3177是哪个程序不就好了?
- TeliuTe
- 论坛版主
- 帖子: 7668
- 注册时间: 2007-11-25 13:29
- 系统: 16/18/20/w7
- 来自: 新疆博乐
- 联系:
Re: 服务器有木马,没有解决的头绪,求助
我校园网也是用的dzx3.2,从dz4+uch1.5一路升级上来,只是内网访问,安全上还从没认真检查过。。
-
- 帖子: 893
- 注册时间: 2011-02-14 17:46
Re: 服务器有木马,没有解决的头绪,求助
所以说你重装过了为什么sshd还会是被替换过的?