Chinaunix
标题:
大家帮我看看这些进程是木马还是病毒啊?
[打印本页]
作者:
Lisingle
时间:
2004-02-10 22:16
标题:
大家帮我看看这些进程是木马还是病毒啊?
我还以为是那个什么slapper病毒,但是我用pav杀毒也没有发现有病毒,只查到了3个Jac.8759病毒,但是这个病毒好像和SSL没有关系。下面是我ps -ef里面的一部分进程,感觉很异常,但是不知道怎么办。各位帮我看看吧。
root 3092 3091 0 Jan29 pts/4 00:00:00 [osslmass2 <defunct>;]
root 3120 1 0 Jan29 pts/4 00:00:00 ./openssl-too -a 0x01 213.9.4.19
root 3121 3120 0 Jan29 pts/4 00:00:00 [openssl-too <defunct>;]
root 3138 1 0 Jan29 pts/4 00:00:00 ./openssl-too -a 0x01 213.9.4.20
root 3139 3138 0 Jan29 pts/4 00:00:00 [openssl-too <defunct>;]
root 3288 1 0 Jan29 ? 00:00:00 SCREEN
root 3289 3288 0 Jan29 pts/5 00:00:00 /bin/bash
root 3326 3289 0 Jan29 pts/5 00:00:00 ./osslmass2 mass.log
root 3327 3326 0 Jan29 pts/5 00:00:00 ./osslmass2 mass.log
root 3330 3327 0 Jan29 pts/5 00:00:00 [osslmass2 <defunct>;]
root 3997 1 0 Jan30 ? 00:00:01 ./ntpd
root 4011 1 0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.11.170
root 4012 4011 0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root 4409 1 0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.23.45.
root 4410 4409 0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root 4415 1 0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.23.48.
root 4416 4415 0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root 4498 3326 0 Jan30 pts/5 00:00:00 ./openssl-too -a 0x15 194.44.207
root 4499 4498 0 Jan30 pts/5 00:00:00 [openssl-too <defunct>;]
root 4527 1 0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.23.207
root 4528 4527 0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root 4752 1 0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.25.150
root 4753 4752 0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root 5435 1 0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.26.38.
root 5436 5435 0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root 5466 1 0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x0b 213.26.173
root 5467 5466 0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root 5485 1 0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x13 213.27.18.
root 5486 5485 0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root 5528 1 0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x07 213.28.22.
root 5529 5528 0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root 5534 1 0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.28.61.
root 5535 5534 0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root 5550 1 0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.28.254
root 5551 5550 0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root 5557 1 0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x09 213.30.139
root 5558 5557 0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root 5569 1 0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x0f 213.30.237
root 5570 5569 0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root 5608 1 0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.33.93.
root 5609 5608 0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root 5641 1 0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x0b 213.35.137
root 5642 5641 0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root 5652 1 0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x14 213.35.157
root 5653 5652 0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root 5692 1 0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.37.51.
root 5693 5692 0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root 5698 1 0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.37.157
root 5699 5698 0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root 5740 1 0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.39.166
root 5741 5740 0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root 5746 1 0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.39.189
root 5747 5746 0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root 5752 1 0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.39.214
root 5753 5752 0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root 5769 1 0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.39.232
root 5770 5769 0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root 5775 1 0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.39.247
root 5776 5775 0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root 5781 1 0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.41.31.
root 5782 5781 0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root 5831 1 0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.41.130
root 5832 5831 0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root 5837 1 0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x14 213.41.132
root 5838 5837 0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
root 5858 3091 0 Jan30 pts/4 00:00:00 ./openssl-too -a 0x01 213.41.132
root 5859 5858 0 Jan30 pts/4 00:00:00 [openssl-too <defunct>;]
作者:
Lisingle
时间:
2004-02-10 22:19
标题:
大家帮我看看这些进程是木马还是病毒啊?
对了,系统是RH 7.2
作者:
sakulagi
时间:
2004-02-11 08:03
标题:
大家帮我看看这些进程是木马还是病毒啊?
你找一下openssl-too这个程序是再什么地方?
是你的正常文件么?
这些defunct的进程是因为父进程再子进程之前退出了,才会这样。
作者:
mb
时间:
2004-02-11 08:12
标题:
大家帮我看看这些进程是木马还是病毒啊?
你在攻击对方呢,一个openssl溢出工具,在对以上ip,要不是你自已调用的话就是你被当成了跳板了
作者:
Lisingle
时间:
2004-02-11 10:05
标题:
大家帮我看看这些进程是木马还是病毒啊?
谢谢。
我该怎么办呢?
找到openssl-too程序,删除,然后修改用户密码,还需要做什么么?
作者:
mb
时间:
2004-02-11 10:21
标题:
大家帮我看看这些进程是木马还是病毒啊?
不是你放的程序?你被黑了
init 1
备份一下资料
看一下日志,对方是怎样进来的,再打补丁,最好还是重装后再打补丁
作者:
好好先生
时间:
2004-02-11 10:28
标题:
大家帮我看看这些进程是木马还是病毒啊?
原帖由 "mb" 发表:
不是你放的程序?你被黑了
init 1
备份一下资料
看一下日志,对方是怎样进来的,再打补丁,最好还是重装后再打补丁
老兄,你手里都有什么安全的资料?能不能share一下.谢谢!
作者:
Lisingle
时间:
2004-02-11 10:57
标题:
大家帮我看看这些进程是木马还是病毒啊?
谢谢
能提供一些Linux比较严重的漏洞以及补丁下载的地址吗?
我只是从RedHat网站上下了SSL的补丁。
另外有个疑问,我没开httpd的话,SSL漏洞应该不会被利用吧?
作者:
好好先生
时间:
2004-02-11 14:07
标题:
大家帮我看看这些进程是木马还是病毒啊?
近期被攻击的贴子很多啊!希望经验丰富者能写几个贴子讲讲这个问题。
欢迎光临 Chinaunix (http://bbs.chinaunix.net/)
Powered by Discuz! X3.2