服务器被黑了，跪求大神支招

发现服务器远程不了，然后登上管理后台提示

Reason: Network abuse: Mass Mailing

More details: We have detected a large number of outgoing SMTP connections originating from this server. This usually means that the server is sending out spam.

Reason: Network abuse: Mass Mailing
More details: We have detected a large number of outgoing SMTP connections originating from this server. This usually means that the server is sending out spam.

How to resolve: This usually happens when your server is rooted/hacked. Make sure you install clean OS immediately after resuming service, otherwise the issue will repeat.

服务器被黑了然后滥用发送邮件，跟本无从下手，想问问大家知道这种情况应该如何解决吗？
PS：能不重装就不重装吧。。在此献上自己的膝盖。。。

qqerqqer

2015-08-14 09:39:01 +08:00

@HanSonJ 我觉得还是重新的好。因为你不知道黑你服务器的人在你的服务器干了什么，清理起来是费时费力，最后还不能保证服务器完全的安全(PS:服务器远程不了很有可能是因为.ssh文件夹已经被删除了)

HanSonJ

2015-08-14 10:12:41 +08:00

@crazycen
@Ryans 谢谢了，辛亏数据不多，导出了数据库，其余一些代码还没来得及导出就再次被运行恶意脚本了，现在就开始重装

Havee

2015-08-14 10:17:22 +08:00

如果时间预算足够，还是先找出哪里出问题导致被root吧
否则就算你导出数据后重装，也只是又一个轮回而已

bingwenshi

2015-08-14 10:20:35 +08:00

重装之后，认真配置好防火墙，除了web80端口外，其他都禁掉，22端口也只白名单允许你自己的IP访问，或者使用VPN才能访问也行

adrianzhang

2015-08-14 10:40:43 +08:00

白天的话比较难，因为要迅速恢复运营，晚上的话可以先观察，做个网络连接切片脚本（准备观察对方从哪儿来的等等），建立nc通道（给自己留后门），然后干掉他需要的服务，例如SMTP，等待对方上钩。找到对方源以后，修改本机的root密码，建立iptables必要服务双向（进出双向加固），关闭其他所有。看是否其仍然能通过服务打进来。这样做的目的，是要找出服务方面的漏洞，用于重装后加固。拿到必要信息后，重装，iptables加固，不仅双向，而且屏蔽源IP，并且给自己留好后门。

xuhaotian

2015-08-14 11:32:29 +08:00

我也遇到过
解决方法：
换22到其他端口
封掉所有其他端口
登陆三次错误自动封IP，记得叫fail2ban

从此再没发生过

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/213105

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.