被黑客攻击 真实案例！ 希望大家帮忙分析分析。

吾同树

今天找打开自己的远程服务器，sudo 以后 执行ll 命令 出现 bus error，很是奇怪！
然后visudo  后提示没有这个命令！呵呵 感觉不好！
简单介绍下我的“服务器”
   1.IBMT23 笔记本 “试验用”
   2.系统fedora 4  原内核。
   3.具体系统情况：运行的服务有mysql，apache，ssh，phpMyAdmin，下载了一个phpwind 论坛系统“测试用”，因为测试并没有做过特别处理 ：
   ssh默认，apache端口默认，mysql端口默认，selimux 未打开，iptables 基本默认，

端口情况   
[root@dooben ~]# netstat -lntpu
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name   
tcp        0      0 0.0.0.0:32769               0.0.0.0:*                   LISTEN      1747/rpc.statd      
tcp        0      0 0.0.0.0:3306                0.0.0.0:*                   LISTEN      2176/mysqld         
tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      1729/portmap        
tcp        0      0 0.0.0.0:6160                0.0.0.0:*                   LISTEN      2318/phlinux        
tcp        0      0 127.0.0.1:5335              0.0.0.0:*                   LISTEN      2038/mDNSResponder  
tcp        0      0 :::8036                     :::*                        LISTEN      2209/httpd         
tcp        0      0 :::80                       :::*                        LISTEN      2209/httpd         
tcp        0      0 :::22                       :::*                        LISTEN      2085/sshd           
tcp        0      0 :::443                      :::*                        LISTEN      2209/httpd         
udp        0      0 0.0.0.0:32768               0.0.0.0:*                               1747/rpc.statd      
udp        0      0 0.0.0.0:651                 0.0.0.0:*                               1747/rpc.statd      
udp        0      0 0.0.0.0:5353                0.0.0.0:*                               2038/mDNSResponder  
udp        0      0 0.0.0.0:5353                0.0.0.0:*                               2038/mDNSResponder  
udp        0      0 0.0.0.0:111                 0.0.0.0:*                               1729/portmap     

  4.因为是家里是动态IP 下载了一个花生壳linux版，这样可以远程，可以用域名访问www服务。

出现上述情况以后 发现 网址不能访问，root进入后很多命令都提示“没有发现这个命令” 呵呵1！
  last ，vi ，who，ll，等都不能用.
  cat /var/log/message  没有内容。
cat /var/log/message1 出现下列情况！
Aug  5 18:23:45 dooben sshd(pam_unix)[6458]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.90.213.110  user=root “这应该是那个黑大侠 第一次ssh 我的服务器，呵呵至于是不是利用"肉鸡" 俺就不清楚了。
以后 登陆的信息很频繁 大多是夜里1点以后 呵呵！ 当然我也有夜班，不过工作都很忙没顾得上登陆自己的服务器。 下面就是登陆过我服务器的所有IP
  222.90.213.110   122.225.100.80  203.249.9.104  124.254.63.240  212.145.115.234  202.102.63.162  211.139.113.147  74.95.153.41
58.213.146.48
[color="Black"] [color="Blue"]补充一：这些确实是通过SSH 远程登陆过我的机器的IP 没有像楼下的朋友说的 网络爬虫之类的东东！  昨天我修改了下iptables， 修改了root 及其他用户的密码 目前还没发现有人登陆 运行很正常！  至于运行命令错误 也是确实存在的！ 可惜忘了把当时的情况截图了呵呵！ ll，last，who，vi，等等一些root的命令都是提示bash 无法发现此命令之类的提示！
还不少 范围也很广 美国友人，西班牙大哥，   江西 浙江 北京 西安 的还有香港同胞，呵呵！ 真不知道 他们在我服务器上做了点什么事！ 不过我的服务器是在是烂的不知道去做什么密码简单的不用猜就知道的那种！ 情况大概就是这样 。
  我关心的是下面的 希望大家一起分析分析：
   1.对于这样的攻击，是通过哪里的漏洞呢！ 密码 的问题就不用提了要是因为我的密码简单 呵呵！ 我对那些”大侠“就有点憎恨了，不值得。
   2.若生产型服务器真遇到这样的问题怎么处理！当然我重启电脑后一切正常。
     我在重复下现象：
     一：vi ll last 等很多命令不能用
     提示：--bash: "comment": command not found
        我该怎么处理啊！！ google了不少方法都不行。
       二：我的root 等其他用户原始密码并没有改变，文件应用程序也正常他们的目的是？
     三：为什么重启后就正常了！ 中了什么病毒，木马？？？？ 从那检查啊！！

多谢大家看完此贴啊！ 若你需要一个linux 终端用户来学习试验。老手就不必要了
我到可以提帮助！  需要的话 发邮件给我要吧！ netjade@yahoo.cn  王涛。

roofers

可能是一些扫描行为，开了80端口还可能是网络爬虫或者蜘蛛程序做的遂！你可以看一下你的web日志是不是有搜索机器人的痕迹，像这样的：
我的机子开80端口就常常被搜索机器人访问。

1. 
   
2. 220.181.61.220 - - [10/Aug/2008:09:32:39 +0800] "GET /desktop/linux-2.6.26.2/arch/blackfin/ HTTP/1.1" 406 493 "-" "Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)"
   
3. 220.181.61.220 - - [10/Aug/2008:09:32:49 +0800] "GET /desktop/linux-2.6.26.2/arch/cris/ HTTP/1.1" 406 489 "-" "Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)"
   
4. 220.181.61.220 - - [10/Aug/2008:09:32:59 +0800] "GET /desktop/linux-2.6.26.2/arch/frv/ HTTP/1.1" 406 488 "-" "Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)"
   
5. 220.181.61.220 - - [10/Aug/2008:09:33:09 +0800] "GET /desktop/linux-2.6.26.2/arch/h8300/ HTTP/1.1" 406 490 "-" "Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)"
   
6. 220.181.61.220 - - [10/Aug/2008:09:33:19 +0800] "GET /desktop/linux-2.6.26.2/arch/ia64/ HTTP/1.1" 406 489 "-" "Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)"
   
7. 220.181.61.220 - - [10/Aug/2008:09:33:29 +0800] "GET /desktop/linux-2.6.26.2/arch/m32r/ HTTP/1.1" 406 489 "-" "Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)"
   
8. 220.181.61.220 - - [10/Aug/2008:09:33:39 +0800] "GET /desktop/linux-2.6.26.2/arch/m68k/ HTTP/1.1" 406 489 "-" "Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)"
   
9. 220.181.61.220 - - [10/Aug/2008:09:33:49 +0800] "GET /desktop/linux-2.6.26.2/arch/m68knommu/ HTTP/1.1" 406 494 "-" "Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)"
   
10. 220.181.61.220 - - [10/Aug/2008:09:33:59 +0800] "GET /desktop/linux-2.6.26.2/arch/mips/ HTTP/1.1" 406 489 "-" "Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)"
    
11. 220.181.61.220 - - [10/Aug/2008:10:59:30 +0800] "GET /desktop/tools/ HTTP/1.1" 200 2410 "-" "Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)"
    

复制代码

至于命令运行没有反应，你看一下是不是没有安装或者是输入错误之类的：）还有你看上面的日志我的是被搜狗蜘蛛程序访问过的。

wangtao24

楼主的名字。。。。。。。。跟我一样！

没本

rpc对你有用吗，用不到还是关了吧。

kevin.tan

export $PATH

看看路径是不是有改，正常情况下是这样的

2. Byrouter:~# echo $PATH
3. /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

复制代码

建议最好重装系统

skyfour

看不明白，学习。。。。。。。。。