服务器被黑了，在服务器上找到一perl黑客程序(怀疑是这个攻陷了系统)

ddtghost

机器上的情况：

bot还一直在往外连

[root@localhost /]# netstat -anp
tcp        0      1 x.x.x.x:36680      83.149.x.x:8081       SYN_SENT    27837/[httpd]      

[root@localhost proc]# ps -ef|grep httpd
root      1082     1  0  2008 ?        00:08:57 /usr/sbin/httpd
apache   27837     1  0 Oct02 ?        00:07:54 [httpd]         

[root@localhost /]# lsof -u apache |grep 27837
perl    27837 apache  cwd    DIR    8,17     4096  212993 /tmp
perl    27837 apache  rtd    DIR    8,17     4096       2 /
perl    27837 apache  txt    REG    8,17    12572  344444 /usr/bin/perl
perl    27837 apache  mem    REG    8,17   103044 6127621 /lib/ld-2.3.2.so
perl    27837 apache  mem    REG    8,17  3258593 1425485 /usr/lib/perl5/5.8.0/i386-linux-thread-multi/CORE/libperl.so
perl    27837 apache  mem    REG    8,17   136506  409609 /usr/lib/perl5/5.8.0/i386-linux-thread-multi/auto/IO/IO.so
perl    27837 apache  mem    REG    8,17   106304 4882457 /usr/lib/perl5/5.8.0/i386-linux-thread-multi/auto/Socket/Socket.so
perl    27837 apache  mem    REG    8,17    52472 6127642 /lib/libnss_files-2.3.2.so
perl    27837 apache  mem    REG    8,17    91604 6127636 /lib/libnsl-2.3.2.so
perl    27837 apache  mem    REG    8,17    15084 6127632 /lib/libdl-2.3.2.so
perl    27837 apache  mem    REG    8,17   211948 4145160 /lib/tls/libm-2.3.2.so
perl    27837 apache  mem    REG    8,17    79744 4145162 /lib/tls/libpthread-0.29.so
perl    27837 apache  mem    REG    8,17    23668 6127630 /lib/libcrypt-2.3.2.so
perl    27837 apache  mem    REG    8,17    12696 6127658 /lib/libutil-2.3.2.so
perl    27837 apache  mem    REG    8,17 30301680  475146 /usr/lib/locale/locale-archive
perl    27837 apache  mem    REG    8,17   243316 2736156 /usr/lib/perl5/5.8.0/i386-linux-thread-multi/auto/POSIX/POSIX.so
perl    27837 apache  mem    REG    8,17  1531064 4145158 /lib/tls/libc-2.3.2.so
perl    27837 apache    0r   CHR     1,3            67057 /dev/null
perl    27837 apache    1w  FIFO     0,5          7968000 pipe
perl    27837 apache    2u   REG    8,17    82465 6619711 /var/log/httpd/error_log.2
perl    27837 apache    3u  IPv4    1304              TCP *:http (LISTEN)
perl    27837 apache    4u  IPv4    1305              TCP *:https (LISTEN)
perl    27837 apache    5r  FIFO     0,5          7764734 pipe
perl    27837 apache    6w  FIFO     0,5          7764734 pipe
perl    27837 apache    7u   REG    8,17    82465 6619711 /var/log/httpd/error_log.2
perl    27837 apache    8u   REG    8,17     1668 6619701 /var/log/httpd/ssl_error_log.2
perl    27837 apache    9w   REG    8,17   124258 6619722 /var/log/httpd/access_log.2
perl    27837 apache   10w   REG    8,17      347 6619708 /var/log/httpd/ssl_access_log.2
perl    27837 apache   11w   REG    8,17      415 6619720 /var/log/httpd/ssl_request_log.2
perl    27837 apache   12u  sock     0,0          7967986 can't identify protocol
perl    27837 apache   13r   REG    8,17     4482 2261570 /var/www/wordtrans/wordtrans.php
perl    27837 apache   14u   REG    8,17        0  214292 /tmp/sess_ed36af2118b51af8e553d089ef71ddc8 (deleted)
perl    27837 apache   15w   REG    8,17        0  214294 /tmp/sess_f3wtx3es3wedxwa213s1x1ws1e32sx2 (deleted)
perl    27837 apache   16u  IPv4 8944415              TCP xx.x.x.x:36324->dedi-funk001.on24.nl:tproxy (SYN_SENT)

[ 本帖最后由 ddtghost 于 2009-10-12 15:21 编辑 ]

blackold

学习学习!

dahe_1984

没看懂

ttcn

学习了！

HongLian3

呃，太牛了~

dreamingdog

学习!

netrookie

这个算黑客。。。

lyingquan

连看都没看得懂的代码。我学习路还很长呢！

xti9er

原帖由 xmbbx 于 2007-6-13 17:18 发表
大致分析黑客是利用了php代码的漏洞，取得了webshell,然后上传了这个perl的程序，然后不知道黑客怎么弄的就得到了系统的权限，最后为所欲为。
这个上传的perl黑客程序如下,感觉写的很狡猾：
大家帮忙具体分析 ...

IRC BOT
RFI 扫描得手的。

见到不少。

ddtghost

能介绍些好的RFI扫描器以及防范方法吗，谢谢！