“哈哈，你的邮件服务器被我攻破了”,兄弟们帮忙啊！

静意

今天我的邮箱里面收到一封邮件“哈哈，你的邮件服务器被我攻破了”，登上系统一看，/目录下的root和maildata两个目录被删了，幸好我们的邮件数据保存在别的目录里，还能正常运行。
然后还有一个异常是1G的内存全部耗光，找不到耗资源的进程。
日志里面找不到登录痕迹，只是找到对方是用222.93.130.210发信

fwizard

能不能把木马或者可疑程序发上来看看

静意

我不知道怎么查找里面的木马啊
ps -aux 进程是
USER       PID %CPU %MEM   VSZ  RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0  1372   84 ?        S    Jul30   0:06 init
root         2  0.0  0.0     0    0 ?        SW   Jul30   0:00 [migration/0]
root         3  0.0  0.0     0    0 ?        SW   Jul30   0:00 [migration/1]
root         4  0.0  0.0     0    0 ?        SW   Jul30   0:00 [keventd]
root         5  0.0  0.0     0    0 ?        SWN  Jul30   0:00 [ksoftirqd_CPU0
root         6  0.0  0.0     0    0 ?        SWN  Jul30   0:00 [ksoftirqd_CPU1
root        11  0.0  0.0     0    0 ?        SW   Jul30   0:01 [bdflush]
root         7  0.0  0.0     0    0 ?        SW   Jul30   1:59 [kswapd]
root         8  0.0  0.0     0    0 ?        SW   Jul30   0:02 [kscand/DMA]
root         9  0.1  0.0     0    0 ?        SW   Jul30   8:19 [kscand/Normal]
root        10  0.0  0.0     0    0 ?        SW   Jul30   3:05 [kscand/HighMem
root        12  0.0  0.0     0    0 ?        SW   Jul30   0:04 [kupdated]
root        13  0.0  0.0     0    0 ?        SW   Jul30   0:00 [mdrecoveryd]
root        19  0.0  0.0     0    0 ?        SW   Jul30   0:00 [scsi_eh_0]
root        22  0.0  0.0     0    0 ?        SW   Jul30   0:05 [kjournald]
root        80  0.0  0.0     0    0 ?        SW   Jul30   0:00 [khubd]
root       178  0.0  0.0     0    0 ?        SW   Jul30   0:28 [kjournald]
root       179  0.0  0.0     0    0 ?        SW   Jul30   0:02 [kjournald]
root       180  0.0  0.0     0    0 ?        SW   Jul30   0:00 [kjournald]
root      2094  0.0  0.0  1444  164 ?        S    Jul30   0:00 syslogd -m 0
root      2098  0.0  0.0  1364    4 ?        S    Jul30   0:00 klogd -x
rpc       2108  0.0  0.0  1544    0 ?        SW   Jul30   0:00 [portmap]
rpcuser   2127  0.0  0.0  1524    0 ?        SW   Jul30   0:00 [rpc.statd]
root      2223  0.0  0.0  3504  336 ?        S    Jul30   0:01 /usr/sbin/sshd
root      2237  0.0  0.0  2020    4 ?        S    Jul30   0:00 xinetd -stayali
root      2247  0.0  0.0  1408    0 ?        SW   Jul30   0:00 gpm -t ps/2 -m
root      2256  0.0  0.0  1424  136 ?        S    Jul30   0:00 crond
xfs       2329  0.0  0.0  4536   56 ?        S    Jul30   0:00 [xfs]
daemon    2383  0.0  0.0  1412  164 ?        S    Jul30   0:00 [atd]
root      2401  0.0  0.0  6148   84 ?        S    Jul30   0:03 /quark/apache/b
root      2411  0.0  0.0  6208  944 ?        S    Jul30   0:00 [httpd]
root      2412  0.0  0.0  6208 1004 ?        S    Jul30   0:00 [httpd]
root      2553  0.0  0.0  1352    4 tty1     S    Jul30   0:00 /sbin/mingetty
root      2554  0.0  0.0  1352    4 tty2     S    Jul30   0:00 /sbin/mingetty
root      2555  0.0  0.0  1352    4 tty3     S    Jul30   0:00 /sbin/mingetty
root      2556  0.0  0.0  1352    4 tty4     S    Jul30   0:00 /sbin/mingetty
root      2557  0.0  0.0  1352    4 tty5     S    Jul30   0:00 /sbin/mingetty
root      2558  0.0  0.0  1352    4 tty6     S    Jul30   0:00 /sbin/mingetty
root      2645  0.0  0.0  6208  768 ?        S    Jul30   0:00 [httpd]
root      2647  0.0  0.0  6208  704 ?        S    Jul30   0:00 [httpd]
root     19699  0.0  0.0  7492  324 ?        S    Jul31   0:04 cupsd
root      8253  0.0  0.0  5384  164 ?        S    Aug01   0:00 /bin/sh /quark/
mysql     8278  0.0  1.4 58912 15416 ?       S    Aug01   0:01 [mysqld]
mysql     8279  0.0  1.4 58912 15416 ?       S    Aug01   0:02 [mysqld]
mysql     8280  0.0  1.4 58912 15416 ?       S    Aug01   0:00 [mysqld]
mysql     8281  0.0  1.4 58912 15416 ?       S    Aug01   0:00 [mysqld]
mysql     8282  0.0  1.4 58912 15416 ?       S    Aug01   0:00 [mysqld]
mysql     8283  0.0  1.4 58912 15416 ?       S    Aug01   0:00 [mysqld]
mysql     8284  0.0  1.4 58912 15416 ?       S    Aug01   0:00 [mysqld]
mysql     8285  0.0  1.4 58912 15416 ?       S    Aug01   0:13 [mysqld]
mysql     8286  0.0  1.4 58912 15416 ?       S    Aug01   0:00 [mysqld]
mysql     8287  0.0  1.4 58912 15416 ?       S    Aug01   0:00 [mysqld]
root     28948  0.0  5.6 74048 58380 ?       S    11:30   0:17 /quark/ldap/lib
root     28953  0.0  0.0  1900   68 ?        S    11:30   0:00 /quark/bin/runs
root     28957  0.0  0.0  1900   68 ?        S    11:30   0:00 /quark/bin/runs
root     28959  0.0  0.0  1900   68 ?        S    11:30   0:00 /quark/bin/runs
root     28961  0.0  0.0  1900   68 ?        S    11:30   0:00 /quark/bin/runs
quark    28966  0.0  0.0  2184  324 ?        S    11:30   0:04 [pop3d]
quark    28967  0.0  0.0  2200  324 ?        S    11:30   0:07 [smtpd]
quark    28968  0.0  0.0  2768  764 ?        S    11:30   0:02 [queue]
quark    28969  0.0  0.0  2152  116 ?        S    11:30   0:02 [ftpd]
quark    28991  0.0  0.1  3424 1144 ?        S    11:30   0:00 /quark/bin/pop3
quark    28992  0.0  0.1  3420 1176 ?        S    11:30   0:00 /quark/bin/pop3
quark    28993  0.0  0.1  3476 1256 ?        S    11:30   0:00 /quark/bin/pop3
quark    28994  0.0  0.1  3468 1204 ?        S    11:30   0:00 /quark/bin/pop3
quark    28995  0.0  0.1  3468 1244 ?        S    11:30   0:00 /quark/bin/pop3
quark    28996  0.0  0.1  3416 1172 ?        S    11:30   0:00 /quark/bin/pop3
quark    28997  0.0  0.1  3468 1204 ?        S    11:30   0:00 /quark/bin/pop3
quark    28998  0.0  0.1  3472 1168 ?        S    11:30   0:00 /quark/bin/pop3
quark    28999  0.0  0.1  3416 1204 ?        S    11:30   0:00 /quark/bin/pop3
quark    29000  0.0  0.1  3416 1192 ?        S    11:30   0:00 /quark/bin/pop3
quark    29001  0.0  0.1  3468 1224 ?        S    11:30   0:00 /quark/bin/pop3
quark    29003  0.0  0.1  3428 1144 ?        S    11:30   0:00 /quark/bin/pop3
quark    29004  0.0  0.1  3468 1184 ?        S    11:30   0:00 /quark/bin/pop3
quark    29005  0.0  0.1  3472 1176 ?        S    11:30   0:00 /quark/bin/pop3
quark    29006  0.0  0.1  3412 1152 ?        S    11:30   0:00 /quark/bin/pop3
quark    29007  0.0  0.1  3404 1148 ?        S    11:30   0:00 /quark/bin/pop3
quark    29008  0.0  0.1  3412 1184 ?        S    11:30   0:00 /quark/bin/pop3
quark    29010  0.0  0.1  3472 1180 ?        S    11:30   0:00 /quark/bin/pop3
quark    29011  0.0  0.1  3472 1232 ?        S    11:30   0:00 /quark/bin/pop3
quark    29012  0.0  0.0  2432   68 ?        S    11:30   0:00 /quark/bin/ftpd
quark    29013  0.0  0.0  2432   68 ?        S    11:30   0:00 /quark/bin/ftpd
quark    29014  0.0  0.0  2432   68 ?        S    11:30   0:00 /quark/bin/ftpd
quark    29015  0.0  0.0  2432   20 ?        S    11:30   0:00 /quark/bin/ftpd
quark    29016  0.0  0.0  2432   24 ?        S    11:30   0:00 /quark/bin/ftpd
quark    29017  0.0  0.0  2432   20 ?        S    11:30   0:00 /quark/bin/ftpd
quark    29018  0.0  0.0  2432   20 ?        S    11:30   0:00 /quark/bin/ftpd
quark    29019  0.0  0.0  2432   36 ?        S    11:30   0:00 /quark/bin/ftpd
quark    29020  0.0  0.0  2432   40 ?        S    11:30   0:00 /quark/bin/ftpd
quark    29021  0.0  0.0  2436   68 ?        S    11:30   0:00 /quark/bin/ftpd
quark    29022  0.0  0.1  3408 1172 ?        S    11:30   0:00 /quark/bin/pop3
quark    29023  0.0  0.1  3408 1192 ?        S    11:30   0:00 /quark/bin/pop3
quark    29025  0.0  0.1  5064 1876 ?        S    11:30   0:02 /quark/bin/smtp
quark    29027  0.0  0.1  5036 1768 ?        S    11:30   0:03 /quark/bin/smtp
quark    29028  0.0  0.1  5084 1856 ?        S    11:30   0:02 /quark/bin/smtp
quark    29029  0.0  0.1  5068 1680 ?        S    11:30   0:02 /quark/bin/smtp
quark    29030  0.0  0.1  4876 1612 ?        S    11:30   0:01 /quark/bin/smtp
quark    29031  0.0  0.1  5004 1784 ?        S    11:30   0:00 /quark/bin/smtp
quark    29032  0.0  0.1  5056 1736 ?        S    11:30   0:04 /quark/bin/smtp
quark    29033  0.0  0.1  5036 1688 ?        S    11:30   0:02 /quark/bin/smtp
quark    29034  0.0  0.1  3468 1184 ?        S    11:30   0:00 /quark/bin/pop3
quark    29035  0.0  0.1  3416 1164 ?        S    11:30   0:00 /quark/bin/pop3
quark    29036  0.0  0.1  3432 1120 ?        S    11:30   0:00 /quark/bin/pop3
quark    29037  0.0  0.1  3464 1260 ?        S    11:30   0:00 /quark/bin/pop3
quark    29038  0.0  0.1  3468 1176 ?        S    11:30   0:00 /quark/bin/pop3
root     29039  0.3  2.4 52628 24948 ?       S    11:30   1:09 /quark/clamav/s
quark    29041  0.0  0.1  3412 1196 ?        S    11:30   0:00 /quark/bin/pop3
quark    29056  0.0  0.1  3868 1296 ?        S    11:30   0:00 /quark/bin/deli
quark    29057  0.0  0.1  3864 1268 ?        S    11:30   0:01 /quark/bin/deli
quark    29058  0.0  0.1  3880 1316 ?        S    11:30   0:00 /quark/bin/deli
quark    29059  0.0  0.1  3816 1304 ?        S    11:30   0:01 /quark/bin/deli
quark    29060  0.0  0.1  3860 1284 ?        S    11:30   0:01 /quark/bin/deli
quark    29061  0.0  0.1  3816 1280 ?        S    11:30   0:01 /quark/bin/deli
quark    29062  0.0  0.1  3828 1316 ?        S    11:30   0:02 /quark/bin/deli
quark    29063  0.0  0.1  3824 1344 ?        S    11:30   0:00 /quark/bin/deli
quark    29064  0.0  0.1  3764 1252 ?        S    11:30   0:01 /quark/bin/deli
quark    29065  0.0  0.1  3844 1332 ?        S    11:30   0:00 /quark/bin/deli
quark    29066  0.0  0.0  2492  216 ?        S    11:30   0:00 [queue]
mysql    29074  0.0  1.4 58912 15416 ?       S    11:30   0:02 [mysqld]
mysql    29075  0.0  1.4 58912 15416 ?       S    11:30   0:03 [mysqld]
mysql    29079  0.0  1.4 58912 15416 ?       S    11:30   0:03 [mysqld]
mysql    29139  0.0  1.4 58912 15416 ?       S    11:31   0:02 [mysqld]
mysql    29146  0.0  1.4 58912 15416 ?       S    11:31   0:02 [mysqld]
mysql    29150  0.0  1.4 58912 15416 ?       S    11:32   0:01 [mysqld]
mysql    29166  0.0  1.4 58912 15416 ?       S    11:32   0:02 [mysqld]
mysql    29180  0.0  1.4 58912 15416 ?       S    11:33   0:02 [mysqld]
mysql    29276  0.0  1.4 58912 15416 ?       S    11:34   0:03 [mysqld]
mysql    29287  0.0  1.4 58912 15416 ?       S    11:34   0:02 [mysqld]
quark    30555  0.0  0.1  5036 2048 ?        S    13:02   0:02 /quark/bin/smtp
root     30596  0.0  0.1  6856 1628 ?        S    13:03   0:00 /usr/sbin/sshd
root     30598  0.0  0.1  5580 1248 pts/0    S    13:04   0:00 -bash
quark    30627  0.0  0.1  5052 2016 ?        S    13:04   0:03 /quark/bin/smtp
quark    30696  0.0  0.1  5052 2016 ?        S    13:07   0:02 /quark/bin/smtp
quark    30701  0.0  0.2  5032 2064 ?        S    13:07   0:04 /quark/bin/smtp
quark    30702  0.0  0.1  5048 1952 ?        S    13:07   0:01 /quark/bin/smtp
quark    31663  0.0  0.1  3412 1248 ?        S    13:55   0:00 /quark/bin/pop3
quark    31901  0.0  0.1  3856 1608 ?        S    14:09   0:01 /quark/bin/deli
mysql    31914  0.0  1.4 58912 15416 ?       S    14:09   0:01 [mysqld]
root      1255  0.0  0.1  6208 1168 ?        S    15:12   0:00 [httpd]
root      2211  0.0  0.0  1900  540 ?        S    15:31   0:00 /quark/bin/runs
quark     2215  0.0  0.0  2176  664 ?        S    15:31   0:00 [webmaild]
quark     2216  0.0  0.1  3556 1484 ?        S    15:31   0:02 /quark/bin/wmd-
quark     2217  0.0  0.1  3640 1528 ?        S    15:31   0:02 /quark/bin/wmd-
quark     2218  0.0  0.1  3796 1712 ?        S    15:31   0:02 /quark/bin/wmd-
quark     2219  0.0  0.1  3564 1516 ?        S    15:31   0:03 /quark/bin/wmd-
quark     2220  0.0  0.2  4704 2588 ?        S    15:31   0:03 /quark/bin/wmd-
quark     2221  0.0  0.2  4712 2636 ?        S    15:31   0:03 /quark/bin/wmd-
quark     2222  0.0  0.1  3652 1584 ?        S    15:31   0:02 /quark/bin/wmd-
quark     2224  0.0  0.6  8516 6436 ?        S    15:31   0:04 /quark/bin/wmd-
quark     2225  0.0  0.1  3556 1512 ?        S    15:31   0:02 /quark/bin/wmd-
quark     2226  0.0  0.1  3548 1488 ?        S    15:31   0:02 /quark/bin/wmd-
quark     2227  0.0  0.1  3580 1528 ?        S    15:31   0:02 /quark/bin/wmd-
quark     2228  0.0  0.1  3628 1576 ?        S    15:31   0:03 /quark/bin/wmd-
quark     2229  0.0  0.1  3668 1616 ?        S    15:31   0:03 /quark/bin/wmd-
quark     2230  0.0  0.1  3588 1492 ?        S    15:31   0:01 /quark/bin/wmd-
quark     2231  0.0  0.6  8496 6404 ?        S    15:31   0:02 /quark/bin/wmd-
quark     2232  0.0  0.1  3564 1516 ?        S    15:31   0:02 /quark/bin/wmd-
quark     2233  0.0  0.1  3492 1428 ?        S    15:31   0:01 /quark/bin/wmd-
quark     2234  0.0  0.1  3784 1732 ?        S    15:31   0:02 /quark/bin/wmd-
quark     2235  0.0  0.1  3848 1760 ?        S    15:31   0:03 /quark/bin/wmd-
quark     2236  0.0  0.1  3928 1832 ?        S    15:31   0:03 /quark/bin/wmd-
root      2238  0.0  0.3  4680 3152 ?        S    15:31   0:00 /quark/apache/b
nobody    2240  0.0  1.4 17156 14540 ?       S    15:31   0:01 [httpd]
nobody    2241  0.0  1.4 16112 14668 ?       S    15:31   0:01 [httpd]
nobody    2242  0.0  1.1 13456 12028 ?       S    15:31   0:01 [httpd]
nobody    2243  0.0  1.3 15284 13588 ?       S    15:31   0:02 [httpd]
nobody    2244  0.0  1.1 13672 12248 ?       S    15:31   0:01 [httpd]
nobody    2251  0.0  1.2 14644 13216 ?       S    15:32   0:02 [httpd]
nobody    2252  0.0  1.1 13492 12056 ?       S    15:32   0:00 [httpd]
nobody    2253  0.0  1.3 14924 13504 ?       S    15:32   0:03 [httpd]
nobody    2254  0.0  1.2 14444 13016 ?       S    15:32   0:00 [httpd]
nobody    2255  0.0  1.1 13440 12020 ?       S    15:32   0:01 [httpd]
quark     3393  0.0  0.1  3408 1308 ?        S    16:05   0:00 /quark/bin/pop3
quark     4447  0.0  0.1  3412 1316 ?        S    16:46   0:00 /quark/bin/pop3
root      5042  0.0  0.0  2844  896 pts/0    R    17:09   0:00 ps aux
-bash-2.05b#
没有找到异常的程序啊

xlr007

先检查重要目录下文件的时间戳,对可意文件检查是否有not striped的,假如有请留心这类文件.
查看syslog 的记录,检查是否有应用程序曾经异常.


简单点,下个chrootkit用吧.

ayazero

我一直不明白为什么要删人文件呢，造成破坏的话在法律上就是罪加三等

在国内想抓还是不难得，he~

ayazero

http://bbs.chinaunix.net/forum/viewtopic.php?t=581376

http://bbs.chinaunix.net/forum/viewtopic.php?t=335596

Jambo

够狠啊！
你跟谁结过愁啊？
一般练技术的很少这么干！

frosty

典型的黑客败类
就是有了这种败类,人们才误解真正的黑客是搞破坏,不是搞建设.

如果损失大的话,你最好报警

frosty

我忘说了
那IP的地址是: 江苏省 电信的

静意

没有什么损失，重装了个系统，数据导过来就行了，幸好我的数据是藏在别的目录里！
都怪这些垃圾领导，把密码改成公司通用，估计是内部人干的！