发现我被人用apache用户入侵，如何解决

uniteworld

UID: 2851
帖子: 67
积分: 154
在线时间: 6 小时

1^# uniteworld 发表于 2009-01-08 16:42

发现我被人用apache用户入侵，如何解决

我的服务器是centos 5.2，上面装有apache,php服务器，tomcat, 现在出现这样的现象，只要我的服务器一开机，那么同机房的服务器就上不了网了，而且看到进程里有个stealth的进程，用的是apache的用户，该 cpu占用一直99%，把该进程kill掉正常了。请问该怎么彻底解决？

1、怎么通过进程名查到那个程序的地址？
2、怎么知道他是通过什么漏洞进来的，我的服务器只开了apache的80端口，和 ssh的22端口，其他都被iptables封掉
3、有没有快速查到它把开机启动加到哪里了？
4、什么检测服务器安全的工具比较好，各位推荐一下。

急需解决，我也正在弄，各位谁有空帮个忙啊，我会实时把结果发过来，在线等，谢谢！

uniteworld

UID: 2851
帖子: 67
积分: 154
在线时间: 6 小时

2^# uniteworld 发表于 2009-01-08 16:53

报告：
用last apache命令查看日志，没有看到该用户的登录记录，应该是被删除了

uniteworld

UID: 2851
帖子: 67
积分: 154
在线时间: 6 小时

3^# uniteworld 发表于 2009-01-08 16:56

[root@mail log]# lastlog
用户名端口来自最后登陆时间
root pts/2 192.168.0.103 四 1月 8 16:55:33 +0800 2009
bin **从未登录过**
daemon **从未登录过**
adm **从未登录过**
lp **从未登录过**
sync **从未登录过**
shutdown **从未登录过**
halt **从未登录过**
mail **从未登录过**
news **从未登录过**
uucp **从未登录过**
operator **从未登录过**
games **从未登录过**
gopher **从未登录过**
ftp **从未登录过**
nobody **从未登录过**
rpm **从未登录过**
dbus **从未登录过**
avahi **从未登录过**
mailnull **从未登录过**
smmsp **从未登录过**
nscd **从未登录过**
vcsa **从未登录过**
rpc **从未登录过**
rpcuser **从未登录过**
sshd **从未登录过**
apache **从未登录过**
pcap **从未登录过**
haldaemon **从未登录过**
distcache **从未登录过**
mysql **从未登录过**
webalizer **从未登录过**
squid **从未登录过**
named **从未登录过**
xfs **从未登录过**
postfix **从未登录过**
dovecot **从未登录过**
clamav **从未登录过**
amavis **从未登录过**
vmail **从未登录过**
policyd **从未登录过**
ntp **从未登录过**
virtual **从未登录过**

shw1395

UID: 42612
帖子: 186
积分: 427
在线时间: 1 天 23 小时

4^# shw1395 发表于 2009-01-08 17:16

只开80和22，是内贼吧，破密码的可能性很小哦。

uniteworld

UID: 2851
帖子: 67
积分: 154
在线时间: 6 小时

5^# uniteworld 发表于 2009-01-09 09:04

不是，他应该是利用apache漏洞进去的，我昨天找到了那个文件，是在/tmp/.a的目录下的，那个文件属性是属于apache用户的。

dendy109

UID: 42343
帖子: 22
积分: 50
在线时间: 10 分钟

6^# dendy109 发表于 2009-01-09 09:53

LZ服务器找托管可以跟我联系！QQ5887481 我们技术可以帮你检查下！

uniteworld

UID: 2851
帖子: 67
积分: 154
在线时间: 6 小时

7^# uniteworld 发表于 2009-01-09 11:41

我在apache网站找了我这个版本对应的漏洞，补上了，