免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 操作系统 Linux系统管理 才用了2天就被黑了。郁闷。
12下一页
最近访问板块 发新帖
查看: 3480 | 回复: 12
打印 上一主题 下一主题

[系统安全] 才用了2天就被黑了。郁闷。 [复制链接]

xuzhendong

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2012-05-07 11:43 |只看该作者 |倒序浏览
安装的linux redhat as 5 。跑oracle11g学习用的。
开了ssh端口,root账号密码设置的太简单。被黑掉了。
现在开机出现大量/bin/xx  can not execute binary file系统无法启动。
进入linux rescue模式。
查看root下 .bash_history只发现登陆上来运行了如下命令:
w
rpm -q php
screen -r
passwd
/usr/sbin/useradd -u 0 -g 0 -o www
passwd www
rpm -q php
screen -r
cd /var/tmp
ls -
lastlog
userdel oracle
tar zxvf .zcan.tar
screen
查看/var/tmp目录下有个.zcan.tar文件。解压查看,像是密码字典。

请问下,现在该如何修复系统。
vermouth

论坛徽章:
34
亥猪 日期:2015-03-20 13:55:11戌狗 日期:2015-03-20 13:57:01酉鸡 日期:2015-03-20 14:03:56未羊 日期:2015-03-20 14:18:30子鼠 日期:2015-03-20 14:20:14丑牛 日期:2015-03-20 14:20:31辰龙 日期:2015-03-20 14:35:34巳蛇 日期:2015-03-20 14:35:56操作系统版块每日发帖之星 日期:2015-11-06 06:20:00操作系统版块每日发帖之星 日期:2015-11-08 06:20:00操作系统版块每日发帖之星 日期:2015-11-19 06:20:00黄金圣斗士 日期:2015-11-24 10:43:13
2 [报告]
发表于 2012-05-07 11:45 |只看该作者
重装比较好,专业的记得擦除脚印不好彻底排查的。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
xuzhendong

论坛徽章:
0
3 [报告]
发表于 2012-05-07 12:31 |只看该作者
本帖最后由 xuzhendong 于 2012-05-07 12:45 编辑

现在开机出现大量/bin/xx  can not execute binary file系统无法启动。

像这个错误的话,是不是/bin下面的指令被替换了?如果需要修复的话,该如何操作?


查看了/bin目录下的文件。像mkdir cp zcat好多文件都被替换掉了。修改时间显示为被黑的那天。

从正常的系统拷贝相应的文件过来替换掉被修改的那些文件,可行吗?
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
chenyx

论坛徽章:
381
CU十二周年纪念徽章 日期:2014-01-04 22:46:58CU大牛徽章 日期:2013-03-13 15:32:35CU大牛徽章 日期:2013-03-13 15:38:15CU大牛徽章 日期:2013-03-13 15:38:52CU大牛徽章 日期:2013-03-14 14:08:55CU大牛徽章 日期:2013-04-17 11:17:19CU大牛徽章 日期:2013-04-17 11:17:32CU大牛徽章 日期:2013-04-17 11:17:37CU大牛徽章 日期:2013-04-17 11:17:42CU大牛徽章 日期:2013-04-17 11:17:47CU大牛徽章 日期:2013-04-17 11:17:52CU大牛徽章 日期:2013-04-17 11:17:56
4 [报告]
发表于 2012-05-07 13:44 |只看该作者
你现在的数据量不大,还是重新安装比较靠谱.
安装完成,修改下sshd_config,禁用root登陆,禁用密码方式登录,只用key的方式来远程管理吧.
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
DiDeCrouse

论坛徽章:
17
CU大牛徽章 日期:2013-03-13 15:32:35午马 日期:2014-07-29 13:09:18未羊 日期:2014-09-19 16:21:07巳蛇 日期:2014-09-29 16:17:06巳蛇 日期:2014-10-16 08:33:00白羊座 日期:2014-10-16 09:10:24申猴 日期:2015-01-09 11:36:332015年亚洲杯之澳大利亚 日期:2015-03-03 13:57:302015年辞旧岁徽章 日期:2015-03-03 16:54:152015年亚洲杯之沙特阿拉伯 日期:2015-03-27 11:24:282015亚冠之阿尔纳斯尔 日期:2015-06-16 11:50:23CU大牛徽章 日期:2013-03-13 15:38:15
5 [报告]
发表于 2012-05-07 14:01 |只看该作者
从其他系统拷贝文件替换/bin目录下的文件是可行的。
另外可从以下几个方面尝试检查和修复:
1.删除www账户。该帐户为黑客创建的一个超级管理员帐户
  1. userdel -r www
复制代码
2.修改root口令为强口令
3.删除/var/tmp目录下的.zcan.tar文件
4.查看/var/log/secure或者/var/log/messages日志,确定入侵时间。
5.查看任务计划有无异常。/var/spool/cron/tabs
6.检查进程和网络连接,有无异常。
  1. ps -aux
复制代码
  1. lsof -i -n
复制代码
7.根据入侵时间,确定系统哪些文件被修改,以删除或修复,n为距离今天的天数,具体依入侵时间确定
  1. find / -ctime n >/tmp/file.log
复制代码
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
dengbao2001

论坛徽章:
13
技术图书徽章 日期:2014-04-29 14:15:42IT运维版块每日发帖之星 日期:2015-12-12 06:20:00IT运维版块每日发帖之星 日期:2015-08-30 06:20:00IT运维版块每日发帖之星 日期:2015-08-24 06:20:00IT运维版块每日发帖之星 日期:2015-08-02 06:20:002015年亚洲杯之澳大利亚 日期:2015-04-03 15:03:12申猴 日期:2015-03-20 09:00:292015年迎新春徽章 日期:2015-03-04 09:54:452015年辞旧岁徽章 日期:2015-03-03 16:54:15季节之章:冬 日期:2015-01-20 17:08:47双子座 日期:2014-11-21 16:30:31技术图书徽章 日期:2014-07-11 16:29:08
6 [报告]
发表于 2012-05-07 15:44 |只看该作者
重装比较靠谱点,很难将系统替换的文件一一还原的。

楼上如果这些命令被替换了,怎么办?
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
FaintKnowledge

论坛徽章:
0
7 [报告]
发表于 2012-05-07 16:02 |只看该作者
本帖最后由 FaintKnowledge 于 2012-05-07 16:03 编辑

呵呵,捣乱型的,就是让你不好恢复(我觉得80%的可能是误操作造成的.入侵的话更好,别跑应用了,最好的学习资料了 )
last 命令,lastlog命令,看看登陆日志.
其实也没必要做其它的操作,缺什么文件,拷什么文件进去就行了.改掉root密码.开启防火墙
启动后看看监控下网络连接(需要间歇性的监控),有异常的就查看下那个连接的命令的进程名字. 有些进程是可以隐藏的,所以,ps不一定能显示出来.
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
DiDeCrouse

论坛徽章:
17
CU大牛徽章 日期:2013-03-13 15:32:35午马 日期:2014-07-29 13:09:18未羊 日期:2014-09-19 16:21:07巳蛇 日期:2014-09-29 16:17:06巳蛇 日期:2014-10-16 08:33:00白羊座 日期:2014-10-16 09:10:24申猴 日期:2015-01-09 11:36:332015年亚洲杯之澳大利亚 日期:2015-03-03 13:57:302015年辞旧岁徽章 日期:2015-03-03 16:54:152015年亚洲杯之沙特阿拉伯 日期:2015-03-27 11:24:282015亚冠之阿尔纳斯尔 日期:2015-06-16 11:50:23CU大牛徽章 日期:2013-03-13 15:38:15
8 [报告]
发表于 2012-05-07 16:56 |只看该作者
回复 6# dengbao2001

并没说这些方法一定有效,只是提供一些思路。
命令被替换了可以拷贝回来,即使拷贝整个/bin也比重装好吧?
   
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
dooros

论坛徽章:
4
CU大牛徽章 日期:2013-03-13 15:29:07CU大牛徽章 日期:2013-03-13 15:29:49CU大牛徽章 日期:2013-03-13 15:30:192015年迎新春徽章 日期:2015-03-04 09:57:09
9 [报告]
发表于 2012-05-07 18:44 |只看该作者
为了安全起见,建议重装
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
xj21353638

论坛徽章:
0
10 [报告]
发表于 2012-05-07 22:26 |只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP