Mein Site-Host hat mein Konto deaktiviert, nachdem ich meine Bandbreite überschritten hatte. Das war seltsam, da die Site klein ist. Ich habe angefangen, mir die Protokolle anzusehen, und obwohl ich es gewohnt bin, Versuche zu sehen, gängige Endpunkte zu finden, die ich nicht habe, habe ich ein paar Dinge gesehen, die sehr beunruhigend waren. Erstens:
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0
100 77597 100 77597 0 0 184k 0 --:--:-- --:--:-- --:--:-- 246k
--2019-10-13 11:49:21-- ftp://matei:*password*@tyger.ignorelist.com/tst.tgz
=> `tst.tgz'
Resolving tyger.ignorelist.com... 86.121.73.246
Connecting to tyger.ignorelist.com|86.121.73.246|:21... connected.
Logging in as matei ... Logged in!
==> SYST ... done. ==> PWD ... done.
==> TYPE I ... done. ==> CWD not needed.
==> SIZE tst.tgz ... 21765
==> PASV ... done. ==> RETR tst.tgz ... done.
0K .......... .......... . 53.3K=0.4s
2019-10-13 11:49:23 (53.3 KB/s) - `tst.tgz' saved [21765]
Und
Ich habe so etwas noch nie gesehen. Ich glaube, ich wurde irgendwie übernommen. Wie kann ich das Problem beheben?
curl: (7) couldn't connect to host
curl: (7) couldn't connect to host
Can't open perl script "bot.pl": No such file or directory
Can't open perl script "bot.pl": No such file or directory
sh: GET: command not found
sh: GET: command not found
--2019-10-15 22:14:04-- ftp://94.177.240.65/bot.pl
=> `bot.pl'
Connecting to 94.177.240.65:21... --2019-10-15 22:14:04--
ftp://94.177.240.65/bot.pl
=> `bot.pl'
Connecting to 94.177.240.65:21... failed: Connection refused.
failed: Connection refused.
Antwort1
Es sieht so aus, als ob Ihr Linux-Computer über den Apache-Dienst kompromittiert wurde.
Wie behebe ich das Problem?
Es gibt keine einfache Lösung, da Sie Ihr gesamtes System auf mögliche Sicherheitslücken untersuchen müssen.
Hier sind einige allgemeine Vorschläge:
- Aktualisieren Sie Apache auf die neueste Version (über
apt-get). - Aktualisieren Sie alle Ihre Pakete (
sudo apt-get update). - Aktualisieren Sie alle von Ihnen verwendeten Web-CMS/Frameworks (suchen Sie nach bekannten Schwachstellen).
- Scannen Sie Ihr gesamtes System auf vorhandene Schwachstellen (z. B. Malware-Scanner, Antivirenprogramme).
- Scannen Sie alle Ihre Websites auf Malware und Shellcode-Dateien.
Wenn Sie PHP verwenden:
- Benutze einenPHP-Sicherheitsscanner.
- Benutze einenMalware-Scanner für PHP-basierte Websites.
- Wenn Sie Shared Hosting verwenden, wenden Sie sich an das Hosting-Unternehmen.
- Überprüfen Sie Ihr System auf zusätzliche unerwartete Benutzer (
/etc/users) oder Dateien (z. B. in/tmp). Wenn Sie den Verstoß bestätigt haben:
- Ändern Sie alle offengelegten Anmeldeinformationen (Zugriffsschlüssel, Passwörter usw.).
- Speichern Sie alle Beweise für den Fall, dass Sie sie benötigen (IP-Adressen, Protokolle, infizierte/Malware-Dateien).
- Überwachen Sie Ihre Protokolle auch nach dem Patchen Ihrer Systeme weiterhin auf verdächtige Aktivitäten.
Wenn Sie mit den oben genannten Punkten nicht vertraut sind, wenden Sie sich an ein darauf spezialisiertes IT-Unternehmen.
Siehe auch: