免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 1903 | 回复: 3

帮忙分析一个linux攻击 [复制链接]

论坛徽章:
0
发表于 2010-04-20 12:10 |显示全部楼层
今天一个朋友在联通机房托管的机器突然访问不正常,让我帮忙,
开始我也连接不上,后面突然又能连接上了,我检查了一下命令历史,没什么异常
查了secure 日志,发现在近两天只有一条记录,就是刚才我登录的记录
然后查了message.log,看到很多如下记录:
  1. Apr 20 10:37:01 localhost crond(pam_unix)[3879]: session opened for user root by (uid=0)
  2. Apr 20 10:37:01 localhost crond(pam_unix)[3879]: session closed for user root
复制代码
知道了它是在crond中做了手机,看了下crontab,果然有一条不正常的:
  1. ~#crontab -l
  2. * * * * * /var/tmp/.diskid_tmpnode306/.tmp/tempdelete >/dev/null 2>&1
复制代码
进入/var/tmp/.diskid_tmpnode306/.tmp/这个目录,现在以两个文件:
  1. [root@sym .tmp]# ls
  2. cyc.pid    tempdelete
复制代码
两个文件的内容分别是:
  1. [root@sym .tmp]# cat cyc.pid
  2. 31364
复制代码
  1. [root@sym .tmp]# cat tempdelete
  2. #!/bin/sh
  3. if test -r /var/tmp/.diskid_tmpnode306/.tmp/*.pid; then
  4. pid=$(cat /var/tmp/.diskid_tmpnode306/.tmp/*.pid)
  5. if $(kill -CHLD $pid >/dev/null 2>&1)
  6. then
  7. exit 0
  8. fi
  9. fi
  10. cd /var/tmp/.diskid_tmpnode306/.tmp/
  11. ./run &>/dev/null
复制代码
在/var/tmp/.diskid_tmpnode306/.tmp/ 这个目录下,找不到run 这个文件,
修改crontab应该通过这台服务器的web服务器漏洞进行
这个攻击的目的是什么呢?找不到run文件,没法往下分析了,破解root密码?

论坛徽章:
0
发表于 2010-04-20 18:11 |显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

论坛徽章:
0
发表于 2010-04-25 06:10 |显示全部楼层
LZ是用的drupal吗

论坛徽章:
0
发表于 2010-04-26 15:25 |显示全部楼层
先用chkrootkit查一下常用工具如ps ls find 等有没有被修改,最基本的方法可以用find 看看最近几天访问的文件是否有什么异常的,查看一下服务状态、当前连接.
要看的东西挺多
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

DTCC2020中国数据库技术大会

【架构革新 高效可控】2020年12月21日-23日第十一届中国数据库技术大会将在北京隆重召开。

大会设置2大主会场,20+技术专场,将邀请超百位行业专家,重点围绕数据架构、AI与大数据、传统企业数据库实践和国产开源数据库等内容展开分享和探讨,为广大数据领域从业人士提供一场年度盛会和交流平台。

http://dtcc.it168.com


大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP