学习啦在线学习网 　　$DirConfig=~tr/a-z0-9_\-\/\。/a-z0-9_\-\/\。/cd;

　　}

　　6、揭开谜团

　　通过上面逐步分析和介绍，此服务遭受入侵的原因和过程已经非常清楚了，大致过程如下：

学习啦在线学习网 　　(1)攻击者通过Awstats脚本awstats.pl文件的漏洞进入了系统，在/var/tmp目录下创建了隐藏目录，然后将rootkit后门文件传到这个路径下。

　　(2)攻击者通过植入后门程序，获取了系统超级用户权限，进而控制了这台服务器，通过这台服务器向外发包。

　　(3)攻击者的IP地址62.17.163.186可能是通过代理过来的，也可能是攻击者控制的其他肉鸡服务器。

　　(4)攻击者为了永久控制这台机器，修改了系统默认帐号mail的信息，将mail帐号变为可登录，并且设置了mail帐号的密码。

　　(5)攻击者在完成攻击后，通过后门程序自动清理了系统访问日志，毁灭了证据。

　　通过对这个入侵过程的分析，发现入侵者的手段还是非常简单和普遍的，虽然入侵者删除了系统的一些日志，但是还是留下了很多可查的踪迹，其实还可以查看用户下的.bash_history文件，这个文件是用户操作命令的历史记录。

　　7、如何恢复网站

学习啦在线学习网 　　由于系统已经文件被更改和替换，此系统已经变得完全不可信，因此建议备份网站数据，重新安装系统，基本步骤如下：

　　(1)安装稳定版本的操作系统，删除系统默认的并且不需要的用户。

学习啦在线学习网 　　(2)系统登录方式改为公钥认证方式，避开密码认证的缺陷。

学习啦在线学习网 　　(3)安装更高版本的apache和最新稳定版本的Awstats程序。

　　(4)使用Linux下的Tcp_Wrappers防火墙，限制ssh登录的源地址。

学习啦在线学习网 　　上面就是Linux服务器被rootkit攻击后的处理方法，你要先对服务器进行分析，确实是否是rootkit攻击所致，然后再根据具体情况进行恢复。