免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 IT运维 服务器应用 cacti 服务器被黑了!!
最近访问板块 发新帖
查看: 1614 | 回复: 6
打印 上一主题 下一主题

cacti 服务器被黑了!! [复制链接]

novboy

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2009-03-28 14:59 |只看该作者 |倒序浏览
今天history|more一下历史操作记录,我疯了.发现很多奇怪的命令. 我贴出一部分命令,大家看看是咋回事了,是不是当做肉鸡用了?幸好没有删除我的资料.

  2. wget [url]http://umn.dl.sourceforge.net/sourceforge/denyhosts/DenyHosts-2.6.tar.gz[/url]
  3. tar -xzvf DenyHosts-2.6.tar.gz
  4. 363  /sbin/hdparm -tT /dev/sda
  5.   364  ls
  6.   365  /sbin/hdparm -tT /dev/sda
  7.   366  cd /
  8.   367  ll
  9.   368  ls
  10.   369  ll /home/
  11.   370  su - mysql
  12.   371  useradd nagios
  13.   372  chattr -i /etc/passwd
  14.   373  useradd nagios
  15.   374  chattr -i /etc/group
  16.   375  useradd nagios
  17.   376  passwd nagios
  18.   377  chattr +i /etc/group
  19.   378  chattr +i /etc/passwd
  20.   379  ls
  21.   380  userdel nagios
  22. cd /etc/sysconfig/
  23.   818  vi iptables
  24.   819  /etc/init.d/iptables restart
  25.   820  vi iptables
  26.   821  /etc/init.d/iptables restart
  27.   822  /sbin/iptables -L -n
  28.   823  /etc/init.d/iptables stop
  29.   824  chkconfig --list iptables
  30.   825  /etc/init.d/iptables start
  31.   826  vi iptables
  32.   827  /etc/init.d/iptables stop
  33.   828  /sbin/ifconfig
  34.   829  su cacti
  35.   830  tail -f /var/log/messages
  36.   831  tcpdump |grep 909
  37.   832  /sbin/ifconfig |more
  38.   833  tcpdump -i eth0 |grep 218.15.67
  39.   834  tcpdump -i eth0 |grep 909
  40.   835  tcpdump
  41.   836  tcpdump |grep -v gd
  42.   837  tcpdump |grep -v gd|grep -v smtp|grep -v http
  43.   838  arp -a
  44.   839  vi /etc/resolv.conf
  45.   840  tcpdump |grep 909
复制代码


以下是防火墙的配置也改成这样了:

  1. # Generated by iptables-save v1.3.5 on Thu Mar  5 15:37:35 2009
  2. *filter
  3. :INPUT ACCEPT [309880095:39739457214]
  4. :FORWARD ACCEPT [0:0]
  5. :OUTPUT ACCEPT [305544893:286478456406]
  6. -A INPUT -s 59.41.223.0/255.255.255.0 -p tcp -m multiport --dports 909 -j ACCEPT
  7. -A INPUT -s 218.15.67.0/255.255.255.0 -p tcp -m multiport --dports 909 -j ACCEPT
  8. -A INPUT -p tcp -m multiport --dports 909 -j DROP
  9. COMMIT
  10. # Completed on Thu Mar  5 15:37:35 2009  
复制代码


各位大侠,我看中了什么漏洞了,我看是MYSQL
novboy

论坛徽章:
0
2 [报告]
发表于 2009-03-28 15:03 |只看该作者
我写了个iptables,防止mysql对外开放:

#INPUT
iptables -I INPUT -p tcp --dport 3306 -j REJECT
iptables -I INPUT -p udp --dport 3306 -j REJECT

#FORWARD
iptables -I FORWARD -p tcp --dport 3306 -j REJECT
iptables -I FORWARD -p udp --dport 3306 -j REJECT

ssh也改了非22端口了.

这样安全了吗??
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
kns1024wh

论坛徽章:
0
3 [报告]
发表于 2009-03-28 15:16 |只看该作者

回复 #1 novboy 的帖子

secure wtmp的日志信息是如何反馈的信息
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
bbskuang

论坛徽章:
0
4 [报告]
发表于 2009-03-28 18:24 |只看该作者
看着不像啊。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
marsaber

论坛徽章:
0
5 [报告]
发表于 2009-03-28 19:03 |只看该作者
只有你一个人知道root密码吗?
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
我为人民服务

论坛徽章:
0
6 [报告]
发表于 2009-03-29 21:10 |只看该作者
个人见解:
其一、是黑客谁不知道清掉自己的history信息?
其二、查查他下载了撒子,就是wget那行!暂且不管他安装没有,只看他的下载地址和工具类型,DenyHosts应该是个防黑的工具。
其三、貌似你提供的这些信息跟mysql没有什么关系吧。
其四、他不是开了个909端口嘛,查查什么程序在监听909不就行了嘛。

结论:。。。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
9esu

论坛徽章:
0
7 [报告]
发表于 2009-03-29 23:58 |只看该作者
我也给你分析下!
我的观点:密码配强行破解了
依据就是他第一步下载了DenyHosts-2.6.tar.gz,改安装包作用是阻止SSH暴力破解,他是怎么进你系统的,当然不愿意别人用同样的方法进了啊,就是肉鸡加固的考虑!
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP