紧急求助！服务器被入侵，源码被下载！

This topic created in 2510 days ago, the information mentioned may be changed or developed.

是我的一个不大不小的 web 项目。
从 7 月底发现一个奇怪现象，每天早上会收到我的监控邮件，因为有监控如果服务不正常会发邮件提示。但是检查了代码和 log，并没有问题。7 月底到 8 月初出现了一周，之前考虑过是不是服务器的代码被下载了，在别的服务器运行这个可能，但是突然这个现象停了，就没深究，去忙别的工作了。然后昨天开始又来了。今早继续来，我一收到第一封邮件，就马上登录进腾讯云，把服务器直接关了。然后实锤了，之后半小时一直都收到监控邮件。
所以现在有点慌了。
检讨一下，服务器是在腾讯云的，项目是 nodejs 的，之前确实疏于管理，很多 update 没有做。
现在我请教大家，帮我判断我被黑的情况如何。
1、root 权限是否泄露，除了改 root 密码和子账户的密码，还需要做什么？
2、是否被植入了木马等，如何查杀？
3、服务器在初始的时候有做基础的例如改 ssh 端口和加强密码这些工作来加强安全性，到底是怎么黑进来的？是不是用的 centos 的漏洞？
4、因为是 nodejs 的，被黑进去了那源码和数据库密码就泄露了，怎么办？
5、有什么产品能够低成本的防黑？

Supplement 1 · Aug 16, 2019

监控邮件是我写的代码，用的 nodejs 的模块来发的邮件，这倒是提醒了我查查 IP 是哪里的。

服务器

密码

Nodejs

邮件

20 replies • 2019-08-16 12:35:08 +08:00

1981

Aug 16, 2019

这个情况日志没问题的话,会不会是你服务器内存满了??

klausgao

Aug 16, 2019 via Android

@1981 老哥我都把服务器关了，还继续发了半小时邮件啊

okwork

Aug 16, 2019 via Android

应该不会是代码被盗，可能是邮件延迟。

最简单的测试方式，把你能控制的自己邮件提醒内容改几个字不就看出差别了？或者邮件提醒内容带上 IP 地址。

Cooky

Aug 16, 2019 via Android

端口可以扫，密码可以破，换密钥登录吧
没什么重要的东西的话删了重建最快
只修复那就查查 yum 校验包文件和系统的命令来个全校验

poplar50

Aug 16, 2019 via Android

服务器没有关闭密码登录是吗?

msg7086

Aug 16, 2019

怎么办……我从头到尾读了两遍帖子，愣是没读出些有效的信息。

监控邮件是什么东西啊？你放在服务器上的？写在程序里的？第三方的？
收到监控邮件，怎么收到的？邮件报文里时间字段是在关机之后？邮件发件方 IP 地址是哪？邮件发送用的谁的服务？
然后是不是被黑还不知道，那问怎么被黑的我就不知道怎么回答了。
万一源码和数据库泄露了怎么办？你觉得能怎么办，要是真的源码和数据库在别人电脑里了，难道你要顺着网线追过去砍人吗？泄露了就是泄露了，泼出去的水还能收回来的啊。