免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 操作系统 Linux系统管理 大家帮我看看这些进程是木马还是病毒啊?
最近访问板块 发新帖
查看: 1080 | 回复: 8
打印 上一主题 下一主题

大家帮我看看这些进程是木马还是病毒啊? [复制链接]

Lisingle

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2004-02-10 22:16 |只看该作者 |倒序浏览
我还以为是那个什么slapper病毒,但是我用pav杀毒也没有发现有病毒,只查到了3个Jac.8759病毒,但是这个病毒好像和SSL没有关系。下面是我ps -ef里面的一部分进程,感觉很异常,但是不知道怎么办。各位帮我看看吧。


root      3092  3091  0 Jan29 pts/4    00:00:00 [osslmass2 <defunct>;]
root      3120     1  0 Jan29 pts/4    00:00:00 ./openssl-too -a 0x01 213.9.4.19
root      3121  3120  0 Jan29 pts/4    00:00:00 [openssl-too <defunct>;]
root      3138     1  0 Jan29 pts/4    00:00:00 ./openssl-too -a 0x01 213.9.4.20
root      3139  3138  0 Jan29 pts/4    00:00:00 [openssl-too <defunct>;]
root      3288     1  0 Jan29 ?        00:00:00 SCREEN
root      3289  3288  0 Jan29 pts/5    00:00:00 /bin/bash
root      3326  3289  0 Jan29 pts/5    00:00:00 ./osslmass2 mass.log
root      3327  3326  0 Jan29 pts/5    00:00:00 ./osslmass2 mass.log
root      3330  3327  0 Jan29 pts/5    00:00:00 [osslmass2 <defunct>;]
root      3997     1  0 Jan30 ?        00:00:01 ./ntpd
root      4011     1  0 Jan30 pts/4    00:00:00 ./openssl-too -a 0x01 213.11.170
root      4012  4011  0 Jan30 pts/4    00:00:00 [openssl-too <defunct>;]
root      4409     1  0 Jan30 pts/4    00:00:00 ./openssl-too -a 0x01 213.23.45.
root      4410  4409  0 Jan30 pts/4    00:00:00 [openssl-too <defunct>;]
root      4415     1  0 Jan30 pts/4    00:00:00 ./openssl-too -a 0x01 213.23.48.
root      4416  4415  0 Jan30 pts/4    00:00:00 [openssl-too <defunct>;]
root      4498  3326  0 Jan30 pts/5    00:00:00 ./openssl-too -a 0x15 194.44.207
root      4499  4498  0 Jan30 pts/5    00:00:00 [openssl-too <defunct>;]
root      4527     1  0 Jan30 pts/4    00:00:00 ./openssl-too -a 0x01 213.23.207
root      4528  4527  0 Jan30 pts/4    00:00:00 [openssl-too <defunct>;]
root      4752     1  0 Jan30 pts/4    00:00:00 ./openssl-too -a 0x01 213.25.150
root      4753  4752  0 Jan30 pts/4    00:00:00 [openssl-too <defunct>;]
root      5435     1  0 Jan30 pts/4    00:00:00 ./openssl-too -a 0x01 213.26.38.
root      5436  5435  0 Jan30 pts/4    00:00:00 [openssl-too <defunct>;]
root      5466     1  0 Jan30 pts/4    00:00:00 ./openssl-too -a 0x0b 213.26.173
root      5467  5466  0 Jan30 pts/4    00:00:00 [openssl-too <defunct>;]
root      5485     1  0 Jan30 pts/4    00:00:00 ./openssl-too -a 0x13 213.27.18.
root      5486  5485  0 Jan30 pts/4    00:00:00 [openssl-too <defunct>;]
root      5528     1  0 Jan30 pts/4    00:00:00 ./openssl-too -a 0x07 213.28.22.
root      5529  5528  0 Jan30 pts/4    00:00:00 [openssl-too <defunct>;]
root      5534     1  0 Jan30 pts/4    00:00:00 ./openssl-too -a 0x01 213.28.61.
root      5535  5534  0 Jan30 pts/4    00:00:00 [openssl-too <defunct>;]
root      5550     1  0 Jan30 pts/4    00:00:00 ./openssl-too -a 0x01 213.28.254
root      5551  5550  0 Jan30 pts/4    00:00:00 [openssl-too <defunct>;]
root      5557     1  0 Jan30 pts/4    00:00:00 ./openssl-too -a 0x09 213.30.139
root      5558  5557  0 Jan30 pts/4    00:00:00 [openssl-too <defunct>;]
root      5569     1  0 Jan30 pts/4    00:00:00 ./openssl-too -a 0x0f 213.30.237
root      5570  5569  0 Jan30 pts/4    00:00:00 [openssl-too <defunct>;]
root      5608     1  0 Jan30 pts/4    00:00:00 ./openssl-too -a 0x01 213.33.93.
root      5609  5608  0 Jan30 pts/4    00:00:00 [openssl-too <defunct>;]
root      5641     1  0 Jan30 pts/4    00:00:00 ./openssl-too -a 0x0b 213.35.137
root      5642  5641  0 Jan30 pts/4    00:00:00 [openssl-too <defunct>;]
root      5652     1  0 Jan30 pts/4    00:00:00 ./openssl-too -a 0x14 213.35.157
root      5653  5652  0 Jan30 pts/4    00:00:00 [openssl-too <defunct>;]
root      5692     1  0 Jan30 pts/4    00:00:00 ./openssl-too -a 0x01 213.37.51.
root      5693  5692  0 Jan30 pts/4    00:00:00 [openssl-too <defunct>;]
root      5698     1  0 Jan30 pts/4    00:00:00 ./openssl-too -a 0x01 213.37.157
root      5699  5698  0 Jan30 pts/4    00:00:00 [openssl-too <defunct>;]
root      5740     1  0 Jan30 pts/4    00:00:00 ./openssl-too -a 0x01 213.39.166
root      5741  5740  0 Jan30 pts/4    00:00:00 [openssl-too <defunct>;]
root      5746     1  0 Jan30 pts/4    00:00:00 ./openssl-too -a 0x01 213.39.189
root      5747  5746  0 Jan30 pts/4    00:00:00 [openssl-too <defunct>;]
root      5752     1  0 Jan30 pts/4    00:00:00 ./openssl-too -a 0x01 213.39.214
root      5753  5752  0 Jan30 pts/4    00:00:00 [openssl-too <defunct>;]
root      5769     1  0 Jan30 pts/4    00:00:00 ./openssl-too -a 0x01 213.39.232
root      5770  5769  0 Jan30 pts/4    00:00:00 [openssl-too <defunct>;]
root      5775     1  0 Jan30 pts/4    00:00:00 ./openssl-too -a 0x01 213.39.247
root      5776  5775  0 Jan30 pts/4    00:00:00 [openssl-too <defunct>;]
root      5781     1  0 Jan30 pts/4    00:00:00 ./openssl-too -a 0x01 213.41.31.
root      5782  5781  0 Jan30 pts/4    00:00:00 [openssl-too <defunct>;]
root      5831     1  0 Jan30 pts/4    00:00:00 ./openssl-too -a 0x01 213.41.130
root      5832  5831  0 Jan30 pts/4    00:00:00 [openssl-too <defunct>;]
root      5837     1  0 Jan30 pts/4    00:00:00 ./openssl-too -a 0x14 213.41.132
root      5838  5837  0 Jan30 pts/4    00:00:00 [openssl-too <defunct>;]
root      5858  3091  0 Jan30 pts/4    00:00:00 ./openssl-too -a 0x01 213.41.132
root      5859  5858  0 Jan30 pts/4    00:00:00 [openssl-too <defunct>;]
Lisingle

论坛徽章:
0
2 [报告]
发表于 2004-02-10 22:19 |只看该作者

大家帮我看看这些进程是木马还是病毒啊?

对了,系统是RH 7.2
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
sakulagi

论坛徽章:
0
3 [报告]
发表于 2004-02-11 08:03 |只看该作者

大家帮我看看这些进程是木马还是病毒啊?

你找一下openssl-too这个程序是再什么地方?
是你的正常文件么?
这些defunct的进程是因为父进程再子进程之前退出了,才会这样。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
mb

论坛徽章:
0
4 [报告]
发表于 2004-02-11 08:12 |只看该作者

大家帮我看看这些进程是木马还是病毒啊?

你在攻击对方呢,一个openssl溢出工具,在对以上ip,要不是你自已调用的话就是你被当成了跳板了
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
Lisingle

论坛徽章:
0
5 [报告]
发表于 2004-02-11 10:05 |只看该作者

大家帮我看看这些进程是木马还是病毒啊?

谢谢。
我该怎么办呢?
找到openssl-too程序,删除,然后修改用户密码,还需要做什么么?
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
mb

论坛徽章:
0
6 [报告]
发表于 2004-02-11 10:21 |只看该作者

大家帮我看看这些进程是木马还是病毒啊?

不是你放的程序?你被黑了
init 1
备份一下资料
看一下日志,对方是怎样进来的,再打补丁,最好还是重装后再打补丁
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
好好先生

论坛徽章:
1
荣誉版主 日期:2011-11-23 16:44:17
7 [报告]
发表于 2004-02-11 10:28 |只看该作者

大家帮我看看这些进程是木马还是病毒啊?

原帖由 "mb" 发表:
不是你放的程序?你被黑了
init 1
备份一下资料
看一下日志,对方是怎样进来的,再打补丁,最好还是重装后再打补丁

老兄,你手里都有什么安全的资料?能不能share一下.谢谢!
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
Lisingle

论坛徽章:
0
8 [报告]
发表于 2004-02-11 10:57 |只看该作者

大家帮我看看这些进程是木马还是病毒啊?

谢谢
能提供一些Linux比较严重的漏洞以及补丁下载的地址吗?

我只是从RedHat网站上下了SSL的补丁。
另外有个疑问,我没开httpd的话,SSL漏洞应该不会被利用吧?
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
好好先生

论坛徽章:
1
荣誉版主 日期:2011-11-23 16:44:17
9 [报告]
发表于 2004-02-11 14:07 |只看该作者

大家帮我看看这些进程是木马还是病毒啊?

近期被攻击的贴子很多啊!希望经验丰富者能写几个贴子讲讲这个问题。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP