公司linux as3 web服务器突然出现流量增大,有过多连接,异常进程现象。使用chkrootkit检查发现中了suckit后门。按照网上的办法: for i in `seq 1 33000`; do test -f $i/cmdline && (cat $i/cmdline; echo "--$i"); done 在/proc察看如下: init [3]--1 --2 --3 --4 --5 --6 --7 --8 --9 --10 --11 --17 --18 --19 --20 --73 --201 --202 --203 --204 --205 --206 --207 syslogd-m0--468 klogd-x--472 portmap--481 rpc.statd-...
从http://www.ossec.net/rootkits/ 偷来了不少RootKit程序,其中有个sk-1.3a这个软件吸引了我。这个程序曾经安装过前段时间Debian服务器被黑的事件,当初就是这个程序导致了Debian服务器接连被黑掉的恶性结果。具体如何入侵到Debian服务器这个不说,我先分析分析这个程序是如何工作的。 拿到这个程序的名字为sk-1.3a.tar.gz,tar –xvzf sk-1.3a.tar.gz到我的Redhat7.2中。 [root@Learning backdoor]# tar -xvzf sk-1.3a.tar.gz sk...