今天登陆一个服务器,上去安装些软件,运行ps查看进程,天啦,好多scan-ssh进程.这是个才上线的机器,什么也没装,看来中招了.啥原因?设置了简单密码没更改.
我们来看看他都干了些什么:
cd /var/tmp //传文件到这个目录,一共2个文件a.jpg及z,jpg,挺狡猾的,这样命名文件
ls
ls
tar xvfz a.jpg //解压文件,然后运行程序start
cd a
./start
cd ..
ls
ls
tar xvfz z.jpg //再解压另外一个文件
cd z
screen
clear
ll
cd /
ll
cd /usr/
ls
exit //溜之大吉
仔细看了进程,发现除了scan-ssh进程外,还有psscan,sh等未知进程,不管三七二十一,杀了这些进程,然后改系统密码,再查看文件/etc/passwd,看有没有被创建新用户.检查运行级别所在的目录,看是否有异常的启动进程被创建;再看/etc/rc.local等.最后删除目录/var/tmp目录里所有文件及目录。
重启系统,再多查几次进程。还好,没有发现别的被破坏的迹象。一般情况,对于有业务的系统,最好备份数据,重新安装系统。
这又是一例设置简单密码被黑的实例,大家引以为鉴。