Chinaunix
标题:
帮忙分析一个linux攻击
[打印本页]
作者:
sunowy
时间:
2010-04-20 12:10
标题:
帮忙分析一个linux攻击
今天一个朋友在联通机房托管的机器突然访问不正常,让我帮忙,
开始我也连接不上,后面突然又能连接上了,我检查了一下命令历史,没什么异常
查了secure 日志,发现在近两天只有一条记录,就是刚才我登录的记录
然后查了message.log,看到很多如下记录:
Apr 20 10:37:01 localhost crond(pam_unix)[3879]: session opened for user root by (uid=0)
Apr 20 10:37:01 localhost crond(pam_unix)[3879]: session closed for user root
复制代码
知道了它是在crond中做了手机,看了下crontab,果然有一条不正常的:
~#crontab -l
* * * * * /var/tmp/.diskid_tmpnode306/.tmp/tempdelete >/dev/null 2>&1
复制代码
进入/var/tmp/.diskid_tmpnode306/.tmp/这个目录,现在以两个文件:
[root@sym .tmp]# ls
cyc.pid tempdelete
复制代码
两个文件的内容分别是:
[root@sym .tmp]# cat cyc.pid
31364
复制代码
[root@sym .tmp]# cat tempdelete
#!/bin/sh
if test -r /var/tmp/.diskid_tmpnode306/.tmp/*.pid; then
pid=$(cat /var/tmp/.diskid_tmpnode306/.tmp/*.pid)
if $(kill -CHLD $pid >/dev/null 2>&1)
then
exit 0
fi
fi
cd /var/tmp/.diskid_tmpnode306/.tmp/
./run &>/dev/null
复制代码
在/var/tmp/.diskid_tmpnode306/.tmp/ 这个目录下,找不到run 这个文件,
修改crontab应该通过这台服务器的web服务器漏洞进行
这个攻击的目的是什么呢?找不到run文件,没法往下分析了,破解root密码?
作者:
洋服一次
时间:
2010-04-20 18:11
提示:
作者被禁止或删除 内容自动屏蔽
作者:
linuxdiy
时间:
2010-04-25 06:10
LZ是用的drupal吗
作者:
a.a
时间:
2010-04-26 15:25
先用chkrootkit查一下常用工具如ps ls find 等有没有被修改,最基本的方法可以用find 看看最近几天访问的文件是否有什么异常的,查看一下服务状态、当前连接.
要看的东西挺多
欢迎光临 Chinaunix (http://bbs.chinaunix.net/)
Powered by Discuz! X3.2