LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
查看: 1045|回复: 8

惨呀,被放入木码

[复制链接]
发表于 2005-12-21 13:25:00 | 显示全部楼层 |阅读模式
http://www.linuxsir.cn/bbs/showthread.php?t=205832
和这位兄弟差不多.
用apache 上角本到/tmp目录,执行,然后角本到指定的网站下程序,开端口 udp/26900 26901
从机器内部主动连接远程机器,绕开iptables.......然后开启几万个进程连接到别人的6667端口...可能是借我的机器搞别人吧...
刚清理干净......不懂还在我的机器做了些什么....打算重装.

各位兄弟小心呀..
awstats.pl真不是个好东西.
 楼主| 发表于 2005-12-21 13:29:03 | 显示全部楼层
清不干净呀...26900 26901 还是打开的..

哪位知道是用什么命令查是哪个程序打开的这两个端口呀..

急呀...
回复 支持 反对

使用道具 举报

 楼主| 发表于 2005-12-21 13:42:02 | 显示全部楼层
某个端口现在运行什么监听程序
2004-04-23 15:18 pm
作者:linux宝库 (http://www.linuxmine.com)
来自:linux宝库 (http://www.linuxmine.com)
联系:linuxmine#gmail.com

当我们用netstat -an的时候,我们有时候可以看到类似的输出:
udp 0 0 0.0.0.0:32768 0.0.0.0:*
但是查找/etc/services又没有这个端口的相关说明,怎么办呢?这个是不是黑客程序?
有没有办法查看究竟什么程序监听在这个端口?

使用lsof -i :32768就可以看到:
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
rpc.statd 603 root 4u IPv4 953 UDP *:32768
rpc.statd 603 root 6u IPv4 956 TCP *:32768 (LISTEN)
原来是rpc的程序。

使用lsof -i :port就能看见所指定端口运行的程序,同时还有当前连接。




全文结束  


26900 26901
好像是hlds 开的端口
回复 支持 反对

使用道具 举报

 楼主| 发表于 2005-12-21 14:27:24 | 显示全部楼层
我操...5月份已经有人来过了...
还在查住.........惨呀....看日志看得我心惊肉跳....
回复 支持 反对

使用道具 举报

发表于 2005-12-21 15:12:49 | 显示全部楼层
不要说什么awstats.pl不好!最新的awstats已经解决了脚本注入的问题,你没有没有升级怪谁?
不来CGI脚本就有这样的隐患,安全要靠自己!你如果使用apache的时候在调用cgi的目录里设了访问权限并且不是弱密码的话,一般不可能被调用CGI并注入的!
记住一点,系统的安全是建立在管理员的素质上的!
回复 支持 反对

使用道具 举报

发表于 2005-12-21 15:18:00 | 显示全部楼层
请升级 awstats
回复 支持 反对

使用道具 举报

 楼主| 发表于 2005-12-21 15:22:16 | 显示全部楼层
调用cgi的目录里设了访问权限并且不是弱密码的话
我在httpd.conf里应该如何设置?
thank
回复 支持 反对

使用道具 举报

发表于 2005-12-21 17:07:03 | 显示全部楼层
Post by jhuangjiahua
请升级 awstats

huangjiahua好想是有教训了!
回复 支持 反对

使用道具 举报

发表于 2005-12-21 17:22:20 | 显示全部楼层
Post by chg
调用cgi的目录里设了访问权限并且不是弱密码的话
我在httpd.conf里应该如何设置?
thank

www.google.com 搜"htaccess and httpd.conf"
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表