Chinaunix首页 | 论坛 | 博客
  • 博客访问: 10725294
  • 博文数量: 2905
  • 博客积分: 20098
  • 博客等级: 上将
  • 技术积分: 36298
  • 用 户 组: 普通用户
  • 注册时间: 2009-03-23 05:00
文章存档

2012年(1)

2011年(3)

2009年(2901)

分类: LINUX

2009-03-23 11:19:31

今天登陆一个服务器,上去安装些软件,运行ps查看进程,天啦,好多scan-ssh进程.这是个才上线的机器,什么也没装,看来中招了.啥原因?设置了简单密码没更改.
 
我们来看看他都干了些什么:
 cd /var/tmp      //传文件到这个目录,一共2个文件a.jpg及z,jpg,挺狡猾的,这样命名文件
  ls
  ls
  tar xvfz a.jpg   //解压文件,然后运行程序start
  cd a
  ./start
  cd ..
  ls
  ls
  tar xvfz z.jpg  //再解压另外一个文件
  cd z
  screen
  clear
   ll
   cd /
   ll
   cd /usr/
   ls
   exit               
//溜之大吉
 
仔细看了进程,发现除了scan-ssh进程外,还有psscan,sh等未知进程,不管三七二十一,杀了这些进程,然后改系统密码,再查看文件/etc/passwd,看有没有被创建新用户.检查运行级别所在的目录,看是否有异常的启动进程被创建;再看/etc/rc.local等.最后删除目录/var/tmp目录里所有文件及目录。
 
重启系统,再多查几次进程。还好,没有发现别的被破坏的迹象。一般情况,对于有业务的系统,最好备份数据,重新安装系统。
 
这又是一例设置简单密码被黑的实例,大家引以为鉴。
 

阅读(1509) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~