免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 操作系统 Linux系统管理 大家帮帮忙,我的机器被hack了!!!
12下一页
最近访问板块 发新帖
查看: 3451 | 回复: 10
打印 上一主题 下一主题

大家帮帮忙,我的机器被hack了!!! [复制链接]

elsove812

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2011-04-08 09:41 |只看该作者 |倒序浏览
有一阵子时间了,由于不影响正常服务,也就没着急弄,一点一点的研究,想弄明白是怎么被黑的。
现在lsof查到的可疑记录如下
perl       2992    root  cwd    DIR                8,3     4096          2 /
perl       2992    root  rtd    DIR                8,3     4096          2 /
perl       2992    root  txt    REG                8,3    19208   19929383 /usr/bin/perl
perl       2992    root  mem    REG                8,3   139416    9535798 /lib64/ld-2.5.so
perl       2992    root  mem    REG                8,3  1717800    9535799 /lib64/libc-2.5.so
perl       2992    root  mem    REG                8,3    23360    9535800 /lib64/libdl-2.5.so
perl       2992    root  mem    REG                8,3   145824    9535806 /lib64/libpthread-2.5.so
perl       2992    root  mem    REG                8,3   615136    9535804 /lib64/libm-2.5.so
perl       2992    root  mem    REG                8,3  1262384   20054025 /usr/lib64/perl5/5.8.8/x86_64-linux-thread-multi/CORE/libperl.so
perl       2992    root  mem    REG                8,3    48600    9535814 /lib64/libcrypt-2.5.so
perl       2992    root  mem    REG                8,3   114352    9535690 /lib64/libnsl-2.5.so
perl       2992    root  mem    REG                8,3    92736    9535822 /lib64/libresolv-2.5.so
perl       2992    root  mem    REG                8,3    18152    9535824 /lib64/libutil-2.5.so
perl       2992    root  mem    REG                8,3 56466384   19926989 /usr/lib/locale/locale-archive
perl       2992    root  mem    REG                8,3    18080   20086801 /usr/lib64/perl5/5.8.8/x86_64-linux-thread-multi/auto/IO/IO.so
perl       2992    root  mem    REG                8,3    21424   20086976 /usr/lib64/perl5/5.8.8/x86_64-linux-thread-multi/auto/Socket/Socket.so
perl       2992    root  mem    REG                8,3    53880    9535515 /lib64/libnss_files-2.5.so
perl       2992    root    0u  sock                0,5            17309689 can't identify protocol
perl       2992    root    1u  sock                0,5            17309689 can't identify protocol
perl       2992    root    2u  sock                0,5            17309689 can't identify protocol
perl       2992    root    3r   REG                8,3    37312    9404436 /tmp/exploit/target (deleted)
perl       2992    root    4u  IPv4           20215554                 TCP <我的ip>->62-249-232-82.static.enta.net:webcache (ESTABLISHED)
perl       2992    root    8w  FIFO                0,6            16066086 pipe
perl       2992    root   10w  FIFO                0,6            16066089 pipe
perl       2992    root   15u  IPv4           16066604                 TCP bogon:47467->bogon:11211 (ESTABLISHED)
perl       2992    root   16u  IPv4           16066361                 TCP bogon:47448->bogon:11211 (ESTABLISHED)
perl       2992    root   17u  IPv4           16066537                 TCP bogon:47460->bogon:11211 (ESTABLISHED)
perl       2992    root   18u  IPv4           16066964                 TCP bogon:47472->bogon:11211 (ESTABLISHED)
perl       2992    root   19u  IPv4           16067558                 TCP bogon:44151->bogon:11211 (ESTABLISHED)
perl       2992    root   20u  IPv4           16068116                 TCP bogon:44156->bogon:11211 (ESTABLISHED)
perl       2992    root   21u  IPv4           16068718                 TCP bogon:34299->bogon:11211 (ESTABLISHED)
perl       2992    root   22u  IPv4           16069261                 TCP bogon:34301->bogon:11211 (ESTABLISHED)
perl       2992    root   23u  IPv4           16069680                 TCP bogon:34306->bogon:11211 (ESTABLISHED)
perl       2992    root   24u  IPv4           16069824                 TCP bogon:34308->bogon:11211 (ESTABLISHED)
perl       2992    root   25u  IPv4           16069828                 TCP bogon:34310->bogon:11211 (ESTABLISHED)
perl       2992    root   26u  IPv4           16070449                 TCP bogon:47614->bogon:11211 (ESTABLISHED)
perl       2992    root   27u  IPv4           16073148                 TCP bogon:55417->bogon:11211 (ESTABLISHED)
perl       2992    root   28u  IPv4           16073173                 TCP bogon:55419->bogon:11211 (ESTABLISHED)
perl       2992    root   29u  IPv4           16071223                 TCP bogon:47840->bogon:11211 (ESTABLISHED)
perl       2992    root   30u  IPv4           16072460                 TCP bogon:55251->bogon:11211 (ESTABLISHED)
perl       2992    root   31u  IPv4           16073728                 TCP bogon:55423->bogon:11211 (ESTABLISHED)
perl       2992    root   32u  IPv4           16075435                 TCP bogon:40119->bogon:11211 (ESTABLISHED)
perl       2992    root   33u  IPv4           16075988                 TCP bogon:40126->bogon:11211 (ESTABLISHED)
perl       2992    root   34u  IPv4           16081317                 TCP bogon:33641->bogon:11211 (ESTABLISHED)
perl       2992    root   35u  IPv4           16079001                 TCP bogon:45842->bogon:11211 (ESTABLISHED)
perl       2992    root   36u  IPv4           16077605                 TCP bogon:41226->bogon:11211 (ESTABLISHED)
perl       2992    root   37u  IPv4           16082716                 TCP bogon:43703->bogon:11211 (ESTABLISHED)
perl       2992    root   38u  IPv4           16083832                 TCP bogon:58353->bogon:11211 (ESTABLISHED)
perl       2992    root   39u  IPv4           16084922                 TCP bogon:58358->bogon:11211 (ESTABLISHED)
perl       2992    root   40u  IPv4           16085518                 TCP bogon:50704->bogon:11211 (ESTABLISHED)
perl       2992    root   41u  IPv4           16086614                 TCP bogon:48952->bogon:11211 (ESTABLISHED)
perl       2992    root   42u  IPv4           16087162                 TCP bogon:48955->bogon:11211 (ESTABLISHED)
perl       2992    root   43u  IPv4           16088314                 TCP bogon:60488->bogon:11211 (ESTABLISHED)
perl       2992    root   44u  IPv4           16088862                 TCP bogon:60491->bogon:11211 (ESTABLISHED)
perl       2992    root   45u  IPv4           16090509                 TCP bogon:37096->bogon:11211 (ESTABLISHED)
perl       2992    root   46u  IPv4           16091101                 TCP bogon:53829->bogon:11211 (ESTABLISHED)
perl       2992    root   47u  IPv4           16092201                 TCP bogon:42832->bogon:11211 (ESTABLISHED)
perl       2992    root   48u  IPv4           16092534                 TCP bogon:42834->bogon:11211 (ESTABLISHED)
perl       2992    root   49u  IPv4           16092754                 TCP bogon:42837->bogon:11211 (ESTABLISHED)
perl       2992    root   50u  IPv4           16096085                 TCP bogon:59477->bogon:11211 (ESTABLISHED)
perl       2992    root   51u  IPv4           16096676                 TCP bogon:38747->bogon:11211 (ESTABLISHED)
perl       2992    root   52u  IPv4           16098874                 TCP bogon:48793->bogon:11211 (ESTABLISHED)
perl       2992    root   53u  IPv4           16099466                 TCP bogon:58957->bogon:11211 (ESTABLISHED)
perl       2992    root   54u  IPv4           16100031                 TCP bogon:58960->bogon:11211 (ESTABLISHED)
perl       2992    root   55u  IPv4           16100584                 TCP bogon:51902->bogon:11211 (ESTABLISHED)
perl       2992    root   56u  IPv4           16102269                 TCP bogon:41833->bogon:11211 (ESTABLISHED)
perl       2992    root   57u  IPv4           16105610                 TCP bogon:44825->bogon:11211 (ESTABLISHED)
perl       2992    root   58u  IPv4           16106163                 TCP bogon:46459->bogon:11211 (ESTABLISHED)
perl       2992    root   59u  IPv4           16107253                 TCP bogon:46463->bogon:11211 (ESTABLISHED)
perl       2992    root   60u  IPv4           16107851                 TCP bogon:48015->bogon:11211 (ESTABLISHED)
perl       2992    root   61u  IPv4           16108399                 TCP bogon:48018->bogon:11211 (ESTABLISHED)
perl       2992    root   62u  IPv4           16123517                 TCP bogon:52856->bogon:11211 (ESTABLISHED)
perl       2992    root   63u  IPv4           16125680                 TCP bogon:45709->bogon:11211 (ESTABLISHED)
perl       2992    root   65u  IPv4           16125128                 TCP bogon:41142->bogon:11211 (ESTABLISHED)
















7         28592    root  cwd    DIR                8,3     4096          2 /
7         28592    root  rtd    DIR                8,3     4096          2 /
7         28592    root  txt    REG                8,3   652620    7536799 /tmp/sh-BQKWYAQA13P (deleted)
7         28592    root  mem    REG                8,3   125736    3539958 /lib/ld-2.5.so
7         28592    root  mem    REG                8,3  1611564    3538961 /lib/libc-2.5.so
7         28592    root  mem    REG                8,3   101404    3539954 /lib/libnsl-2.5.so
7         28592    root  mem    REG                8,3    13420    3539000 /lib/libutil-2.5.so
7         28592    root  mem    REG                8,3    45288    3539154 /lib/libcrypt-2.5.so
7         28592    root    0u   CHR                1,3                1790 /dev/null
7         28592    root    1u   CHR                1,3                1790 /dev/null
7         28592    root    2u   CHR                1,3                1790 /dev/null
7         28592    root    3w  FIFO                0,6            10935931 pipe
7         28592    root    4r   REG                0,3        0 4026532248 /proc/kallsyms
7         28592    root    5u  sock                0,5            10936175 can't identify protocol
7         28592    root    6u   REG                8,3     4096    7536649 /tmp/2618/__tmpfile (deleted)
7         28592    root    7u  IPv4           10936584                 TCP *:acmsoda (LISTEN)
7         28592    root    8w  FIFO                0,6             6195869 pipe
7         28592    root   10w  FIFO                0,6             6195870 pipe
7         28592    root   15u  IPv4            6411399                 TCP bogon:56125->bogon:11211 (ESTABLISHED)
7         28592    root   16u  IPv4            6401513                 TCP bogon:48019->bogon:11211 (ESTABLISHED)
7         28592    root   17u  IPv4            6402150                 TCP bogon:48079->bogon:11211 (ESTABLISHED)
7         28592    root   18u  IPv4            6402711                 TCP bogon:48089->bogon:11211 (ESTABLISHED)
7         28592    root   19u  IPv4            6403280                 TCP bogon:53558->bogon:11211 (ESTABLISHED)
7         28592    root   20u  IPv4            6403840                 TCP bogon:53568->bogon:11211 (ESTABLISHED)
7         28592    root   21u  IPv4            6404408                 TCP bogon:46205->bogon:11211 (ESTABLISHED)
7         28592    root   22u  IPv4            6404991                 TCP bogon:46215->bogon:11211 (ESTABLISHED)
7         28592    root   23u  IPv4            6405551                 TCP bogon:46224->bogon:11211 (ESTABLISHED)
7         28592    root   24u  IPv4            6406115                 TCP bogon:46707->bogon:11211 (ESTABLISHED)
7         28592    root   25u  IPv4            6407226                 TCP bogon:55863->bogon:11211 (ESTABLISHED)
7         28592    root   26u  IPv4            6407811                 TCP bogon:55871->bogon:11211 (ESTABLISHED)
7         28592    root   27u  IPv4            6408369                 TCP bogon:55879->bogon:11211 (ESTABLISHED)
7         28592    root   28u  IPv4            6408931                 TCP bogon:53864->bogon:11211 (ESTABLISHED)
7         28592    root   29u  IPv4            6409540                 TCP bogon:53918->bogon:11211 (ESTABLISHED)
7         28592    root   30u  IPv4            6410675                 TCP bogon:55988->bogon:11211 (ESTABLISHED)
7         28592    root   31u  IPv4            6416623                 TCP bogon:43208->bogon:11211 (ESTABLISHED)
7         28592    root   32u  IPv4            6411955                 TCP bogon:40710->bogon:11211 (ESTABLISHED)
7         28592    root   33u  IPv4            6412517                 TCP bogon:40718->bogon:11211 (ESTABLISHED)
7         28592    root   34u  IPv4            6413075                 TCP bogon:43049->bogon:11211 (ESTABLISHED)
7         28592    root   35u  IPv4            6413659                 TCP bogon:43057->bogon:11211 (ESTABLISHED)
7         28592    root   36u  IPv4            6414216                 TCP bogon:43065->bogon:11211 (ESTABLISHED)
7         28592    root   37u  IPv4            6414777                 TCP bogon:38782->bogon:11211 (ESTABLISHED)
7         28592    root   38u  IPv4            6415939                 TCP bogon:43105->bogon:11211 (ESTABLISHED)
7         28592    root   39u  IPv4            6420023                 TCP bogon:41188->bogon:11211 (ESTABLISHED)
7         28592    root   40u  IPv4            6422808                 TCP bogon:50500->bogon:11211 (ESTABLISHED)
7         28592    root   41u  IPv4            6424464                 TCP bogon:60715->bogon:11211 (ESTABLISHED)
7         28592    root   42u  IPv4            6425037                 TCP bogon:60719->bogon:11211 (ESTABLISHED)
7         28592    root   43u  IPv4            6426140                 TCP bogon:38276->bogon:11211 (ESTABLISHED)
7         28592    root   44u  IPv4            6426687                 TCP bogon:38280->bogon:11211 (ESTABLISHED)
7         28592    root   45u  IPv4            6427243                 TCP bogon:39847->bogon:11211 (ESTABLISHED)
7         28592    root   46u  IPv4            6428975                 TCP bogon:58178->bogon:11211 (ESTABLISHED)
7         28592    root   47u  IPv4            6430081                 TCP bogon:40693->bogon:11211 (ESTABLISHED)
7         28592    root   48u  IPv4            6430657                 TCP bogon:40697->bogon:11211 (ESTABLISHED)
7         28592    root   49u  IPv4            6431245                 TCP bogon:40701->bogon:11211 (ESTABLISHED)
7         28592    root   50u  IPv4            6432477                 TCP bogon:57330->bogon:11211 (ESTABLISHED)
7         28592    root   51u  IPv4            6433022                 TCP bogon:42275->bogon:11211 (ESTABLISHED)
7         28592    root   52u  IPv4            6434142                 TCP bogon:42282->bogon:11211 (ESTABLISHED)
7         28592    root   53u  IPv4            6435243                 TCP bogon:57229->bogon:11211 (ESTABLISHED)
7         28592    root   54u  IPv4            6443880                 TCP bogon:59369->bogon:11211 (ESTABLISHED)
7         28592    root   55u  IPv4            6464032                 TCP bogon:36684->bogon:11211 (ESTABLISHED)
7         28592    root   56u  IPv4            6621731                 TCP bogon:51967->bogon:11211 (ESTABLISHED)
7         28592    root   57u  IPv4            6635997                 TCP bogon:36383->bogon:11211 (ESTABLISHED)
7         28592    root   58u  IPv4            6641142                 TCP bogon:43535->bogon:11211 (ESTABLISHED)
7         28592    root   59u  IPv4            6997412                 TCP bogon:50648->bogon:11211 (ESTABLISHED)
7         28592    root   60u  IPv4            7183154                 TCP bogon:47013->bogon:11211 (ESTABLISHED)
7         28592    root   61u  IPv4            7219633                 TCP bogon:39885->bogon:11211 (ESTABLISHED)
7         28592    root   62u  IPv4            7242939                 TCP bogon:46291->bogon:11211 (ESTABLISHED)
7         28592    root   63u  IPv4            7340189                 TCP bogon:52531->bogon:11211 (ESTABLISHED)
7         28592    root   64u  IPv4            7346040                 TCP bogon:33871->bogon:11211 (ESTABLISHED)


bash      28987    root  915u  IPv4           30573219                 TCP <我的ip>:35619->221.11.55.94:ircd (ESTABLISHED)


还有sa被干掉了,
sar
Cannot open /var/log/sa/sa08: No such file or directory

[root@localhost log]# ls
mcelog     rpmpkgs
只有这些日志了


netstat命令也被干掉
[root@localhost log]# netstat
Segmentation fault

大家还需要什么信息?谢谢!!
elsove812

论坛徽章:
0
2 [报告]
发表于 2011-04-08 09:46 |只看该作者
补充一下
TCP bogon:33871->bogon:11211 (ESTABLISHED)
类似这种是正常的,我还有一台memcached服务器,主机名也是bogon。但是使用perl进程跑,有些怪异。使用memcache用的是php啊?

服务器每天后半夜爆发,向外发大量的包,占满带宽。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
taojie2000

论坛徽章:
0
3 [报告]
发表于 2011-04-08 10:42 |只看该作者
你找没找到 入侵者装的脚本和软件....  

半夜发包找到相关ps进程没?  netstat 看连接情况.

删除日志就是为了抹去痕迹!

看看你的PATH 正常不? \

cron 有加了任务没?

看下用户和组有什么异常没?

防火墙开没?
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
elsove812

论坛徽章:
0
4 [报告]
发表于 2011-04-08 10:49 |只看该作者
你找没找到 入侵者装的脚本和软件....  

半夜发包找到相关ps进程没?  netstat 看连接情况. //netstat这个命令已经不好使了,ps之前看到过,就是perl进程

删除日志就是为了抹去痕迹!

看看你的PATH 正常不? \ //PATH=/usr/local/apache/bin:/usr/local/php/bin:/usr/local/mysql/bin:/usr/kerberos/bin:/usr/local/bin:/bin:/usr/bin:/home/webrenhe/bin
这个试运行apache的账户,也是通过这个帐或做些动作。

cron 有加了任务没?  ///最开始有过,但是命令的路径不存在,怀疑是运行起来之后删除,只存在内存中

看下用户和组有什么异常没?  //没有

防火墙开没? //开着呢
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
elsove812

论坛徽章:
0
5 [报告]
发表于 2011-04-08 11:03 |只看该作者
[root@localhost log]# ps -ef|grep 2992
root      2992     1  0 Feb21 ?        00:00:00 /usr/webdav/bin/eplwebdav
但是那个目录没有那个文件,也已经被删除了

另一个pid28592找不到东西
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
taojie2000

论坛徽章:
0
6 [报告]
发表于 2011-04-08 11:21 |只看该作者
本帖最后由 taojie2000 于 2011-04-08 11:23 编辑

回复 4# elsove812

    没cron 命令没了 但是有保存任务的文件

    看看命令还存在不  不存在尝试从正常机器拷贝过来试试!

     他把自己的东西都给伪装起来了

     以后给系统日志  命令记录都做备份到别的机器上

     有日志好查点
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
小小linux

论坛徽章:
0
7 [报告]
发表于 2011-04-08 12:06 |只看该作者
学习来了。。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
elsove812

论坛徽章:
0
8 [报告]
发表于 2011-04-08 12:28 |只看该作者
没cron 命令没了 但是有保存任务的文件 //这个有,现在系统上有两个日志系统,syslog没记,但是syslog-ng记到别的机器上了
之前为了找原因,没有杀死那两个进程,现在停掉。好像正常些了。部分日志开始记,但是syslog的cron还是没有,只有syslog-ng的。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
scrlkcheng

论坛徽章:
0
9 [报告]
发表于 2011-04-08 13:59 |只看该作者
关注!

之前没有考虑过做一些入侵检测方面的设定?
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
elsove812

论坛徽章:
0
10 [报告]
发表于 2011-04-08 15:07 |只看该作者
ssh的途径是封了,其他也没开什么服务。十分怀疑是代码有问题。开发这个网站的一批人已经离职,可能代码里有后门。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP