服务器被入侵了怎么办 rkhunter的简单安装及检测后门

被入侵了，查看了下/var/log/messages和last都已经清理。

sshd : * : spawn /bin/echo %c %d | mail -s '标题' 邮箱地址 ---》邮件来报警

一、接着查看 host.allow 里面设置，禁止某个可疑ip的访问

二、用rkhunter扫下，是否存在rootkit恶意程序。

http://linux.vbird.org/linux_security/0420rkhunter.php

鸟哥讲的rkhunter

rkhunter的安装：

1.下载地址：http://www.rootkit.nl/projects/rootkit_hunter.html

2.配置安装

To perform a default installation of RKH simply unpack the tarball and,

as root, run the installation script:

tar zxf rkhunter-<version>.tar.gz

cd rkhunter-<version>

./installer.sh --install

Note: If some form of file permission error is shown, then check that the

'installer.sh' script is executable.

3.简单安装后，就可以进行检测后门

rkhunter --help 查看选项

--checkall (-c) :全系�y�z�y，rkhunter 的所有�z�y�目

rkhunter --check

第一部份，先�M行 binary 的�z�y，包括 MD5 的�z�y喔

第一部份，先�M行 binary 的�z�y，包括 MD5 的�z�y喔

在第一部份的�z�y��中，主要的工作就是在�z�一些系�y重要的 binary files，# �@些�n案就是常被 root kit 程式包攻�舻墓���！所以首先就得要�z�y他��啊！# 接下�磉M行第二部分的�z�y！

第二部分就是在�z�y常�的 rootkit 程式包所造成的系�y��害！# �@部分的�z�y��然就是��Ω��常�的 rootkit 攻�舻�n案/目����y�樱�# 接下�硎堑谌�部分的�z�y！

这是最后检测的汇总信息

三、检测后，如果哪个服务被设置了后门，则要将其卸载并删除相关文件及文件夹，然后重新安装。

四、接着查看bashrc 文件有没有异常情况。

五、查看网络连接有没有异常

六、查看重要目录（比如/etc）下有没有新创建的文件及目录

find /etc -cmin -10

七、防止攻击被反弹

首先很多人拿到服务器如果一看是linux的很多时候他们想到的是反弹，那么我目的就是要阻止你反弹！ 哼哼！！

看看你网站是以apache 还是noboday权限运行。 设置setfacl ！比如是apache。那么我们就setfack �Cm u:apache:--- /bin /sbin 让他们执行不了命令就算他们上传反弹脚本 不能执行撒，如果是php的反弹脚本我还真没遇见过，有遇见的求给！！

其次phpshell自带反弹的，但是它们反弹的时候会在/tmp下创建东西才能成功!!

由于php上传会文件会涉及到临时上传 文件会放在tmp文件下，所以我们不能把tmp封死，但是可以给但是可以让去掉它的执行权限。他不就反弹不了啦！！一样的setfacl

至于内核升级不建议，会出很多问题，如果想稳定的话 ，所以多观察服务器多看日志，等是一个优秀管理应该做的事！