今天服务器被黑了。。。。。。。。

ansel

今天早上上网发现服务器被黑，首页被改，一个巴基斯坦人自称他是一个斗士，要永不停息地和印度人斗争，NND。和印度人斗争来黑我的中文网站做什么？搞不懂。查看了一下数据没有被删除，但管理员密码被改。而且我的服务器又在远程，请问有什么方法可以找回控制权？
我用的RH9，会不会是因为现在无法升级，有漏洞被攻破了？我将所有端口都关闭了，只剩80和22端口。还是没有用？
请教各位现在哪个版本做服务器比较安全？谢谢！

midx

Post by ansel
一个巴基斯坦人自称他是一个斗士，要永不停息地和印度人斗争，NND。和印度人斗争来黑我的中文网站做什么？

笑得俺直不起腰来

kill_ads

Post by ansel
我将所有端口都关闭了，只剩80和22端口。还是没有用？
请教各位现在哪个版本做服务器比较安全？谢谢！

最好自己用扫描器扫描一下,xscan,nessus挺好,还有需要银子的retina,sss很牛x
然,后考虑一下你的论坛,文章系统是否有脚本注入漏洞

ansel

Post by kill_ads
最好自己用扫描器扫描一下,xscan,nessus挺好,还有需要银子的retina,sss很牛x
然,后考虑一下你的论坛,文章系统是否有脚本注入漏洞

我觉得有这种可能，但如果真是在论坛或者文章系统里注入了漏洞，那就很惨了，这么多文件，不知道放在什么地方了，文件名是什么。

kill_ads

Post by ansel
我觉得有这种可能，但如果真是在论坛或者文章系统里注入了漏洞，那就很惨了，这么多文件，不知道放在什么地方了，文件名是什么。

把你的论坛程序升级到最新版,最好找个懂程序的朋友帮你检查一下

qzhou9887

漏洞是有的。
-----------------------------------------
脚本语言是PHP吗？(如果php配置不当，可从80端口遥控整台服务器)，php的配置可要花些时间来武装，如果不介意给我root密码，可否让我看看。

gradetwo

要么就是你ssh弱口令
要么就是你站点可以被sql injection
要是第一个的话,以后密码注意点不要用123456这种密码了
第二个的话自己仔细看看代码,变量都过滤了没有,特别是旮旯里的代码

要是可以把log贴出来
看看有没有畸形请求什么的

BlazingBits

选择服务器的linux时，不要选什么Redhat9, Fedora Core 之类的，寿命太短了。

可以选debian 或者 CentOS这些可以一直update很多年的甚至gentoo（可以一直update）。
记得要经常更新。

建议你的ssh不要开在22, 开在一个“乱七八糟”的port就可以了，disable root login。有很多服务器其实是被bot黑掉的。

logwatch或者别的IDS记得开着，每天看看寄过来的log分析。

Yuri

你再找找它是用什么方法改你口令的,你也按这个方法改回来,然后把那个漏洞补上

包子

可以联系我，帮你查查你的服务器？
俺的email fatb#security.zz.ha.cn