linux 被黑，引以为戒！

zerg_

有台Redhat AS4的主机，挂公网上，没什么太大用处的，临时提供给朋友ftp上传些资料给我，结果传完忘了删掉临时的访问ftp帐户、目录，今天上班发现用root已经登陆不进去了，在远程ssh2登陆会提示ssh版本已经改变，密码也不对。本地登陆时，输入用户名root回车后，又回到要求输入用户名那里，永远登陆不进去。用光盘启动到单用户模式将shadow的root密码项清空，问题依然存在，好象启动盘都被改了？
而且，在单用户模式下reboot或Ctrl-Alt-Del重起时，都提示说不能打开什么东东。

[ 本帖最后由 zerg_ 于 2005-12-20 16:13 编辑 ]

platinum

把数据导出来，然后重装系统
如果真的被植入了一些东西，很难清除的，有可能替换了你的一些重要应用程序甚至是内核模块
最好把原来的硬盘数据留下来以便分析

艾斯尼勒

怀疑/etc/nologin ??
pam.d?
别的暂时想不到了
我碰到过安装好redhat9之后嘛也没干root死活不让登录，敲完密码就退出到login

rainloftty

如果能够登陆,使用一下ps命令,ls这些命令,一般被改动之后,这些命令都会有些不正常.

zerg_

重起后单用户可以进入系统，看历史记录，发现是被上传了几个包并安装运行，然后root密码被改。在/usr/local/games内放了几个类似木马、sniffer之类的病毒，命名为banner什么的，然后在windows里被杀毒软件查出，是Rootkit.linux.***.c （没记全名字，中间还有一段名字）。一开始在linux里cat (或more)都可以看到源代码，但拷贝之后就不是txt了，看不到了。

zerg_

有个tcp.log在病毒本目录内，其中部分：

--------------------- pam_unix Begin ------------------------

crond:
   Unknown Entries:
      session closed for user root: 11 Time(s)
      session opened for user root by (uid=0): 11 Time(s)

sshd:
   Authentication Failures:
      unknown (211.22.155.234): 192 Time(s)
      unknown (61-219-70-103.hinet-ip.hinet.net): 52 Time(s)
      root (218.75.111.222): 48 Time(s)
      root (61-219-70-103.hinet-ip.hinet.net): 15 Time(s)
      test (61-219-70-103.hinet-ip.hinet.net): 4 Time(s)
      amanda (211.22.155.234): 1 Time(s)
      apache (61-219-70-103.hinet-ip.hinet.net): 1 Time(s)
      cyrus (61-219-70-103.hinet-ip.hinet.net): 1 Time(s)
      ftp (61-219-70-103.hinet-ip.hinet.net): 1 Time(s)
      mysql (61-219-70-103.hinet-ip.hinet.net): 1 Time(s)
      named (61-219-70-103.hinet-ip.hinet.net): 1 Time(s)
      nobody (61-219-70-103.hinet-ip.hinet.net): 1 Time(s)
      postfix (61-219-70-103.hinet-ip.hinet.net): 1 Time(s)
      postgres (61-219-70-103.hinet-ip.hinet.net): 1 Time(s)
      root (80.96.72.66): 1 Time(s)
      test (193.230.205.194): 1 Time(s)
      unknown (61.219.70.103): 1 Time(s)


---------------------- pam_unix End -------------------------


--------------------- sendmail Begin ------------------------



Bytes Transferred: 354022
Messages Sent:     2
Total recipients:  2
---------------------- sendmail End -------------------------

ls: invalid option -- h
Try `ls --help' for more information.

--------------------- SSHD Begin ------------------------


SSHD Started: 1 Time(s)

Failed to bind:
   0.0.0.0 port 22 (Address already in use) : 1 Time(s)

Failed logins from these:
   amanda/password from ::ffff:211.22.155.234: 1 Time(s)
   apache/password from ::ffff:61.219.70.103: 1 Time(s)
   cyrus/password from ::ffff:61.219.70.103: 1 Time(s)
   ftp/password from ::ffff:61.219.70.103: 1 Time(s)
   mysql/password from ::ffff:61.219.70.103: 1 Time(s)
   named/password from ::ffff:61.219.70.103: 1 Time(s)
   nobody/password from ::ffff:61.219.70.103: 1 Time(s)
   postfix/password from ::ffff:61.219.70.103: 1 Time(s)
   postgres/password from ::ffff:61.219.70.103: 1 Time(s)
   root/password from ::ffff:218.75.111.222: 48 Time(s)
   root/password from ::ffff:61.219.70.103: 15 Time(s)
   root/password from ::ffff:80.96.72.66: 2 Time(s)
   test/password from ::ffff:193.230.205.194: 1 Time(s)
   test/password from ::ffff:61.219.70.103: 4 Time(s)

Users logging in through sshd:
   root:
           80-96-72-66.rdsnet.ro (80.96.72.66): 1 time
   test:
      80-96-72-66.rdsnet.ro (80.96.72.66): 3 times
      193.230.205.194: 2 times
      61-219-70-103.HINET-IP.hinet.net (61.219.70.103): 1 time

**Unmatched Entries**
Failed password for invalid user users from ::ffff:211.22.155.234 port 35876 ssh2
Invalid user 12345 from ::ffff:211.22.155.234
……
……

查到IP是罗马尼亚和台湾的，靠。