朋友的服務器讓人給黑了,把sshd都給更換了,拿到root用戶名密碼直接用curl往外傳。絕對是老毛子的手法,非常娴熟,入侵涉及的方案有perl服務、c、shell、curl、php exec等等。
在最簡單的分析下,采取更換sshd服務的辦法來去除老毛子的垃圾sshd.
第一步、下載、安裝
wget -c “ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-5.0p1.tar.gz”
tar zxvf openssh-5.0p1.tar.gz
cd openssh-5.0p1
請確認Zlib和OpenSSL的版本:
openssh-5.0p1要求Zlib的版本在1.2.1.2以上,OpenSSL版本在0.9.6以上.下面是Zlib和 OpenSSL的官方地址:
http://www.gzip.org/zlib/
http://www.openssl.org/
在安裝過程中我遇到了zlib的版本過低。從上邊的網址去下一個 zlib-1.2.3.tar.gz
tar zxvf zlib-1.2.3.tar.gz
cd zlib-1.2.3
./configure
make && make install
然後重新進入 openssh-5.0p1:
./configure -sysconfdir=/etc/ssh
make
這一步後面很牛B,要去到那個修改過的openssh的目錄裡 make uninstall (就是要把老毛子的病毒sshd給全部rm掉),然後再執行下面的步驟:
make install
第二步、配置啟動革新
新安裝的sshd都在/usr/local/sbin/sshd,老的在/usr/sbin/sshd,ps能看到老的還在跑(當然還在跑,不跑你還能連著ssh操作嗎~~・)
修改配置文件,讓新的sshd在新的端口啟動:
vi /etc/ssh/sshd_config
Port 220
然後啟動新的sshd:
/usr/local/ssh/sbin/sshd -f /etc/ssh/sshd_config
注意打開下iptable:
iptables -I INPUT -p udp -dport 220 -j ACCEPT
K掉原來的~~搞定!打完收工。