Chinaunix

标题: 大家帮我看看这些进程是木马还是病毒啊？ [打印本页]

作者: Lisingle 时间: 2004-02-10 22:16
标题: 大家帮我看看这些进程是木马还是病毒啊？
我还以为是那个什么slapper病毒，但是我用pav杀毒也没有发现有病毒，只查到了3个Jac.8759病毒，但是这个病毒好像和SSL没有关系。下面是我ps -ef里面的一部分进程，感觉很异常，但是不知道怎么办。各位帮我看看吧。

root    3092  3091  0 Jan29 pts/4 00:00:00 [osslmass2 <defunct>;]
root    3120    1  0 Jan29 pts/4 00:00:00 ./openssl-too -a 0x01 213.9.4.19
root    3121  3120  0 Jan29 pts/4 00:00:00 [openssl-too <defunct>;]
root    3138    1  0 Jan29 pts/4 00:00:00 ./openssl-too -a 0x01 213.9.4.20
root    3139  3138  0 Jan29 pts/4 00:00:00 [openssl-too <defunct>;]
root    3288    1  0 Jan29 ?       00:00:00 SCREEN
root    3289  3288  0 Jan29 pts/5 00:00:00 /bin/bash
root    3326  3289  0 Jan29 pts/5 00:00:00 ./osslmass2 mass.log
root    3327  3326  0 Jan29 pts/5 00:00:00 ./osslmass2 mass.log
root    3330  3327  0 Jan29 pts/5 00:00:00 [osslmass2 <defunct>;]
root    3997    1  0 Jan30 ?       00:00:01 ./ntpd
root    4011    1  0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.11.170
root    4012  4011  0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root    4409    1  0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.23.45.
root    4410  4409  0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root    4415    1  0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.23.48.
root    4416  4415  0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root    4498  3326  0 Jan30 pts/5 00:00:00 ./openssl-too -a 0x15 194.44.207
root    4499  4498  0 Jan30 pts/5 00:00:00 [openssl-too <defunct>;]
root    4527    1  0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.23.207
root    4528  4527  0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root    4752    1  0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.25.150
root    4753  4752  0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root    5435    1  0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.26.38.
root    5436  5435  0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root    5466    1  0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x0b 213.26.173
root    5467  5466  0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root    5485    1  0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x13 213.27.18.
root    5486  5485  0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root    5528    1  0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x07 213.28.22.
root    5529  5528  0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root    5534    1  0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.28.61.
root    5535  5534  0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root    5550    1  0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.28.254
root    5551  5550  0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root    5557    1  0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x09 213.30.139
root    5558  5557  0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root    5569    1  0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x0f 213.30.237
root    5570  5569  0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root    5608    1  0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.33.93.
root    5609  5608  0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root    5641    1  0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x0b 213.35.137
root    5642  5641  0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root    5652    1  0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x14 213.35.157
root    5653  5652  0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root    5692    1  0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.37.51.
root    5693  5692  0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root    5698    1  0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.37.157
root    5699  5698  0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root    5740    1  0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.39.166
root    5741  5740  0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root    5746    1  0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.39.189
root    5747  5746  0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root    5752    1  0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.39.214
root    5753  5752  0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root    5769    1  0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.39.232
root    5770  5769  0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root    5775    1  0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.39.247
root    5776  5775  0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root    5781    1  0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.41.31.
root    5782  5781  0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root    5831    1  0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.41.130
root    5832  5831  0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root    5837    1  0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x14 213.41.132
root    5838  5837  0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root    5858  3091  0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.41.132
root    5859  5858  0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]

作者: Lisingle 时间: 2004-02-10 22:19
标题: 大家帮我看看这些进程是木马还是病毒啊？
对了，系统是RH 7.2

作者: sakulagi 时间: 2004-02-11 08:03
标题: 大家帮我看看这些进程是木马还是病毒啊？
你找一下openssl-too这个程序是再什么地方？
是你的正常文件么？
这些defunct的进程是因为父进程再子进程之前退出了，才会这样。

作者: mb 时间: 2004-02-11 08:12
标题: 大家帮我看看这些进程是木马还是病毒啊？
你在攻击对方呢，一个openssl溢出工具，在对以上ip，要不是你自已调用的话就是你被当成了跳板了

作者: Lisingle 时间: 2004-02-11 10:05
标题: 大家帮我看看这些进程是木马还是病毒啊？
谢谢。
我该怎么办呢？
找到openssl-too程序，删除，然后修改用户密码，还需要做什么么？

作者: mb 时间: 2004-02-11 10:21
标题: 大家帮我看看这些进程是木马还是病毒啊？
不是你放的程序？你被黑了
init 1
备份一下资料
看一下日志，对方是怎样进来的，再打补丁，最好还是重装后再打补丁

作者: 好好先生 时间: 2004-02-11 10:28
标题: 大家帮我看看这些进程是木马还是病毒啊？

原帖由 "mb" 发表：
不是你放的程序？你被黑了
init 1
备份一下资料
看一下日志，对方是怎样进来的，再打补丁，最好还是重装后再打补丁

老兄,你手里都有什么安全的资料?能不能share一下.谢谢!

作者: Lisingle 时间: 2004-02-11 10:57
标题: 大家帮我看看这些进程是木马还是病毒啊？
谢谢
能提供一些Linux比较严重的漏洞以及补丁下载的地址吗？

我只是从RedHat网站上下了SSL的补丁。
另外有个疑问，我没开httpd的话，SSL漏洞应该不会被利用吧？

作者: 好好先生 时间: 2004-02-11 14:07
标题: 大家帮我看看这些进程是木马还是病毒啊？
近期被攻击的贴子很多啊！希望经验丰富者能写几个贴子讲讲这个问题。

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)