我在Ubuntu 10.04.3服务器上的一个用户帐户被黑了,我不知道如何。 密码很强。 一个cronjob被安装在我的用户的crontab中,并运行在/var/tmp/.aw中
/var/tmp/.aw目录包含一个可执行文件集合,其中包括一个名为bash的文件。
我检查了我的〜/ .bash_history,发现了一些非常可疑的东西。 我在下面提供相关的片段。
w ls passwd cd /var/tmp w ls wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe w wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe w cat /prooc/cpuinfo cat /proc/cpuinfo exotr wq w exit w ls passwd cd /var/tmp ls wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe ls tar xzvf IPmech.tgz rm -rf IPmech.tgz cd .aw s ls ./autorun chmod +x * ./autorun ./start TKLL ls rm -rf m.ses ps x kill -9 4350 ls ps x rm -rf m.ses kill -9 4460 ls ps x w ls nano 192.168.0.100.user2 rm -rf *seeN8 ls rm -rf *see* ls nano m.set rm -rf m.ses ps x kill -9 4582 ls ps x kill -9 4645 rm -rf m.ses ls ps x kill -9 4693 ls rm -rf m.ses ps x kill -9 4733 rm -rf m.ses ps x kill -9 4757 ls nano m.set rm -rf m.ses ps x kill -9 4800 we w ls ps x kill -9 4878 ls rm -rf m.ses ps x kill -9 4926 ls w ps x ls kill -9 4964 w exit w ls ps x cd /var/tmp w ls exit sudo su passwd ls ls -al ls .ssh/ rm id_dsa.pub touch .sudo_as_admin_successful sudo su passwd it is sudo su w echo "yay :D" > /dev/pts/9 echo "I take it it's working..." > /dev/pts/9 w echo "Is this annoying???" > /dev/pts/9 w exit 具体问题:
谢谢
我前段时间写了一个关于Security.SE的答案,用来找出他们是怎么进来的。这不是一个全面的答案,因为这样的东西会填满整本书。
其要点是:“查看日志;通过时间戳识别可疑事物(文件,日志条目)”。
在你的情况下,使用任何你必须find他的IP地址的日志( last -i或grep username /var/log/auth.log ),然后查看所有其他日志(尤其是Web服务器日志,如果你运行一个)该IP地址。 search所有您的日志IPmech也可能是有用的。 如果你能find他从你那里得到的东西,也许可以自己拿一份副本,看看它做了什么。 我的猜测(基于我自己的GooglesearchIPmech )是它运行一个开放的代理。
exotr看起来像一个错误的exit给我。 他打“O”而不是“我”,捣碎“tr”而不是“t”。 特别是因为他后来成功地input了“退出”两个命令。
清理服务器是一件好事,但即使“一切看起来合法”,你永远无法确定 。 在妥协之前使用备份进行擦除和重新安装是您可以确定的一种方式。 看到在我的服务器被严重破解紧急情况下的丰富的build议。 无论如何,这是一个很好的做法,因为备份不是真正的备份,直到您成功从中恢复。