我的linux服务器被黑了，无从下手 [复制链接]

论坛徽章:: 0

11楼 [报告]

发表于 2005-12-29 17:53 |只看该作者

ps 一把

UID       PID  PPID  C STIME TTY       TIME CMD
root       1    0  0 18:08 ?       00:00:04 init
root       2    0  0 18:08 ?       00:00:00 [migration/0]
root       3    0  0 18:08 ?       00:00:00 [migration/1]
root       4    1  0 18:08 ?       00:00:00 [keventd]
root       5    1  0 18:08 ?       00:00:00 [ksoftirqd_CPU0]
root       6    1  0 18:08 ?       00:00:00 [ksoftirqd_CPU1]
root       11    1  0 18:08 ?       00:00:00 [bdflush]
root       7    1  0 18:08 ?       00:00:00 [kswapd]
root       8    1  0 18:08 ?       00:00:00 [kscand/DMA]
root       9    1  0 18:08 ?       00:00:00 [kscand/Normal]
root       10    1  0 18:08 ?       00:00:00 [kscand/HighMem]
root       12    1  0 18:08 ?       00:00:00 [kupdated]
root       13    1  0 18:08 ?       00:00:00 [mdrecoveryd]
root       19    1  0 18:08 ?       00:00:00 [aacraid]
root       20    1  0 18:08 ?       00:00:00 [scsi_eh_0]
root       23    1  0 18:08 ?       00:00:00 [kjournald]
root       81    1  0 18:08 ?       00:00:00 [khubd]
root    645    1  0 18:08 ?       00:00:00 [kjournald]
root    1442    1  0 18:08 ?       00:00:00 syslogd -m 0
root    1446    1  0 18:08 ?       00:00:00 klogd -x
root    1503    1  0 18:08 ?       00:00:00 /usr/sbin/sshd
root    1514    1  0 18:08 ?       00:00:00 xinetd -stayalive -reuse -pidfile /var/run/xinetd.pid
root    1524    1  0 18:08 ?       00:00:00 crond
root    1533    1  0 18:08 ?       00:00:00 /bin/sh /usr/bin/mysqld_safe --datadir=/var/lib/mysql --pid-file=/var/lib/mysql/smsserver.pid
mysql    1560  1533  0 18:08 ?       00:00:00 [mysqld]
xfs    1585    1  0 18:08 ?       00:00:00 [xfs]
mysql    1594  1560  0 18:08 ?       00:00:00 [mysqld]
mysql    1595  1594  0 18:08 ?       00:00:00 [mysqld]
mysql    1596  1594  0 18:08 ?       00:00:00 [mysqld]
mysql    1597  1594  0 18:08 ?       00:00:00 [mysqld]
mysql    1598  1594  0 18:08 ?       00:00:00 [mysqld]
daemon 1608    1  0 18:08 ?       00:00:00 [atd]
root    1615    1  0 18:08 tty1    00:00:00 /sbin/mingetty tty1
root    1616    1  0 18:08 tty2    00:00:00 /sbin/mingetty tty2
root    1617    1  0 18:08 tty3    00:00:00 /sbin/mingetty tty3
root    1618    1  0 18:08 tty4    00:00:00 /sbin/mingetty tty4
root    1620    1  0 18:08 tty5    00:00:00 /sbin/mingetty tty5
root    1621    1  0 18:08 tty6    00:00:00 /sbin/mingetty tty6
mysql    1625  1594  0 18:08 ?       00:00:00 [mysqld]
mysql    1626  1594  0 18:08 ?       00:00:00 [mysqld]
mysql    1627  1594  0 18:08 ?       00:00:00 [mysqld]
mysql    1628  1594  0 18:08 ?       00:00:00 [mysqld]
root    1629  1503  0 18:09 ?       00:00:00 /usr/sbin/sshd
root    1631  1629  0 18:09 pts/0 00:00:00 -bash
root    1670    1  0 18:10 ?       00:00:00 /home/httpd/bin/httpd
nobody 1671  1670  0 18:10 ?       00:00:00 [httpd]
nobody 1672  1670  0 18:10 ?       00:00:00 [httpd]
nobody 1673  1670  0 18:10 ?       00:00:00 [httpd]
nobody 1674  1670  0 18:10 ?       00:00:00 [httpd]
nobody 1675  1670  0 18:10 ?       00:00:00 [httpd]
nobody 1679  1670  0 18:10 ?       00:00:00 [httpd]
nobody 1680  1670  0 18:10 ?       00:00:00 [httpd]
nobody 1681  1670  0 18:10 ?       00:00:00 [httpd]
nobody 1708  1670  0 18:14 ?       00:00:00 [httpd]
root    1715  1631  0 18:16 pts/0 00:00:00 ps -ef

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

inch

白手起家

论坛徽章:: 0

12楼 [报告]

发表于 2005-12-29 17:54 |只看该作者

netstat一把

Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address          Foreign Address       State
tcp       0    0 gameserver:http       202.108.9.143:36080    ESTABLISHED
tcp       0    0 gameserver:http       d10.search.cnb.ya:20544 ESTABLISHED
tcp       0    0 gameserver:http       lj2469.inktomisea:33085 TIME_WAIT
tcp       0 128 gameserver:ssh       192.168.1.109:1722    ESTABLISHED
tcp       0    0 gameserver:http       lj9140.inktomisea:54650 TIME_WAIT
tcp       0    0 gameserver:http       lj9045.inktomisea:39169 TIME_WAIT
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags    Type    State       I-Node Path
unix  6    [ ]       DGRAM                   1525 /dev/log
unix  2    [ ]       DGRAM                   1815
unix  2    [ ]       DGRAM                   1680
unix  2    [ ]       DGRAM                   1656
unix  2    [ ]       DGRAM                   1533

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

missing-cn

家境小康

论坛徽章:: 1

13楼 [报告]

发表于 2005-12-29 17:58 |只看该作者

1. 分析没有被删除的系统日志。
2. 分析运行中的程序有没有可疑的。
3. 分析系统程序有没有被修改的。
4. 分析应用程序有没有被修改的。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

inch

白手起家

论坛徽章:: 0

14楼 [报告]

发表于 2005-12-29 20:01 |只看该作者

原帖由 missing-cn 于 2005-12-29 17:58 发表
1. 分析没有被删除的系统日志。
2. 分析运行中的程序有没有可疑的。
3. 分析系统程序有没有被修改的。
4. 分析应用程序有没有被修改的。

嗯。谢谢，是不是这次黑的非常严重啊。他留下来的HOTMAIL大家以前有没有见到过啊。我google一下，发现也有人的网站被改成这样的。我想会不会是用工具黑的啊。漏洞现在还是没有找到。。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

showrun

稍有积蓄

论坛徽章:: 0

15楼 [报告]

发表于 2005-12-29 21:54 |只看该作者

个人感觉，通过ssh漏洞是不好弄成这样的。sshd在3.7版本以前的是存在缓冲区溢出漏洞。但是能够尝试成功还是比较难的。至少从我的技术水平来说是这样认为的。
多看看php的问题。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

inch

白手起家

论坛徽章:: 0

16楼 [报告]

发表于 2005-12-30 08:40 |只看该作者

原帖由 showrun 于 2005-12-29 21:54 发表
个人感觉，通过ssh漏洞是不好弄成这样的。sshd在3.7版本以前的是存在缓冲区溢出漏洞。但是能够尝试成功还是比较难的。至少从我的技术水平来说是这样认为的。
多看看php的问题。

非常感谢。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ayazero

荣誉版主

论坛徽章:: 0

17楼 [报告]

发表于 2005-12-30 09:21 |只看该作者

http://overflow.nease.net/aya/unix_incident.txt

http://overflow.nease.net/aya/Linux_incident_response.sh

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

zhang21cnboy

白手起家

论坛徽章:: 0

18楼 [报告]

发表于 2005-12-30 11:32 |只看该作者

检查你系统内的帐户。

特别检查那些运行apache等的帐户，查看权限是否被修改。

然后查看是否有其他的帐户，与自己原有的设置发生了变化。

把黑客可能留下的帐户清除之后，启用防火墙，除了自己明确知道的必须端口之外，关闭所有的进出网络通道。

一定是出去的进来的都要关闭（很多人的防火墙不限制自己机器的output）。

更改ssh端口。