帮忙分析一个linux攻击

sunowy

今天一个朋友在联通机房托管的机器突然访问不正常，让我帮忙，
开始我也连接不上，后面突然又能连接上了，我检查了一下命令历史，没什么异常
查了secure 日志，发现在近两天只有一条记录，就是刚才我登录的记录
然后查了message.log，看到很多如下记录：

1. Apr 20 10:37:01 localhost crond(pam_unix)[3879]: session opened for user root by (uid=0)
   
2. Apr 20 10:37:01 localhost crond(pam_unix)[3879]: session closed for user root

复制代码

知道了它是在crond中做了手机，看了下crontab，果然有一条不正常的：

1. ~#crontab -l
   
2. * * * * * /var/tmp/.diskid_tmpnode306/.tmp/tempdelete >/dev/null 2>&1

复制代码

进入/var/tmp/.diskid_tmpnode306/.tmp/这个目录，现在以两个文件：

1. [root@sym .tmp]# ls
   
2. cyc.pid    tempdelete

复制代码

两个文件的内容分别是：

1. [root@sym .tmp]# cat cyc.pid
   
2. 31364
   

复制代码

1. [root@sym .tmp]# cat tempdelete
   
2. #!/bin/sh
   
3. if test -r /var/tmp/.diskid_tmpnode306/.tmp/*.pid; then
   
4. pid=$(cat /var/tmp/.diskid_tmpnode306/.tmp/*.pid)
   
5. if $(kill -CHLD $pid >/dev/null 2>&1)
   
6. then
   
7. exit 0
   
8. fi
   
9. fi
   
10. cd /var/tmp/.diskid_tmpnode306/.tmp/
    
11. ./run &>/dev/null
    

复制代码

在/var/tmp/.diskid_tmpnode306/.tmp/ 这个目录下，找不到run 这个文件，
修改crontab应该通过这台服务器的web服务器漏洞进行
这个攻击的目的是什么呢？找不到run文件，没法往下分析了，破解root密码？

linuxdiy

LZ是用的drupal吗

a.a

先用chkrootkit查一下常用工具如ps ls find 等有没有被修改，最基本的方法可以用find 看看最近几天访问的文件是否有什么异常的，查看一下服务状态、当前连接.
要看的东西挺多