我朋友的托管服务器被 root 了,我们追踪到了一些攻击者的命令。我们在 /tmp/.idc 目录下发现了一些漏洞。我们断开了服务器的连接,现在正在测试攻击者在我们的服务器上尝试的一些本地内核漏洞。这是我们的内核版本:2.4.21-4.ELsmp #1 SMP 我们认为他通过修改后的 uselib() 本地 root 漏洞获得了 root 访问权限,但该漏洞不起作用!loki@danaria {/tmp}# ./mail -l ./lib
[+] SLAB 清理子进程 1 VMA 32768
漏洞就这样挂了。。我已经等了 5 分钟了,但什么也没发生。我也尝试了其他漏洞,但都没有用。。有什么想法吗?或者用这个漏洞做实验?因为我们需要找到问题并修补我们的内核,但我们不明白他是如何利用这个漏洞获得 root 权限的……谢谢
答案1
通常,一个漏洞会发布多个版本。有些有效,有些无效。由于它不是强大的软件,因此它们并不总是能在任何可变情况下都有效。尽管可能性不大,但黑客甚至可能设计了自己的解决方案来破坏您的服务器。他们也可能使用了不同的方法。
如果所运行的软件版本存在已知的安全问题,最好升级它们。即使漏洞利用不起作用,也不意味着您没有漏洞。
我还知道,破解者在入侵之后会关闭漏洞,以确保他们继续控制系统。
我确信您已经意识到,如果不从头开始重建系统,您就不能再认为系统是安全的。我过去曾在这里回答过几个有关安全最佳实践的问题,这些问题更详细地解决了这个问题。祝你好运。