‹‹ 上一主题 | 下一主题 ››
发新话题
 搜藏 打印 该页面添加到 Mister Wong

自己的linuxPC被人放了rootkit

bixuan

小试牛刀

Rank: 2
1# 发表于 2004-3-24 22:13  只看该作者

自己的linuxPC被人放了rootkit

本来昨天就想写本问,因为昨天有点忙,整理这被人放了rootkit的系统,所以就暂时搁浅。现在写下发现的经过。


前天也就是2004年03月21日晚上10点左右,因为有事登陆到放在公司的pc上操作,在执行# netstat -nlp的时候,发现80和443的断口被一个叫xntps的进程所替换了,当时就发现不对,因为xntps自己也不是很清楚,所以马上打开google一查,傻了眼,原来是中了rootkit,所以根据google里查的,查找/etc/rc.d/rc.sysinit文件,发现在该问最后真的有/usr/sbin/xntps -q,所以确信是中了rootkit。


接下去就是先禁该进程,直接# killall -9 xntps发现没用,也许killall命令已经给替换了,所以赶紧# /etc/init.d/syslog restart 然后好歹把那xntps暂时从netstat -nlp中"杀了"。同时去/var/log/去查日志,却发现几乎所有的日志已经被清除,只剩下:/etc/secure,马上把该文件cp到本地,打开一看,下面是/etc/secure的内容:


Mar 21 21:31:06 www useradd[5424]: new user: name=admin, uid=0, gid=0, home=/usr/lib/.admin/, shell=/bin/bash
Mar 21 21:32:57 www sshd[5426]: ROOT LOGIN REFUSED FROM 194.102.107.185
Mar 21 21:32:57 www sshd[5426]: Failed password for ROOT from 194.102.107.185 port 1697
Mar 21 21:33:02 www sshd[5426]: ROOT LOGIN REFUSED FROM 194.102.107.185
Mar 21 21:33:02 www sshd[5426]: Failed password for ROOT from 194.102.107.185 port 1697
Mar 21 21:33:08 www sshd[5426]: ROOT LOGIN REFUSED FROM 194.102.107.185
Mar 21 21:33:08 www sshd[5426]: Failed password for ROOT from 194.102.107.185 port 1697
Mar 21 21:33:30 www sshd[5426]: ROOT LOGIN REFUSED FROM 194.102.107.185
Mar 21 21:33:30 www sshd[5426]: Failed password for ROOT from 194.102.107.185 port 1697
Mar 21 21:33:53 www sshd[5426]: Failed password for ROOT from 194.102.107.185 port 1697
Mar 21 21:34:10 www useradd[5428]: new user: name=ftpd, uid=0, gid=0, home=/usr/lib/.ftpd/, shell=/bin/bash
Mar 21 21:34:42 www sshd[5426]: Connection closed by 194.102.107.185
Mar 21 21:35:32 www sshd[5432]: ROOT LOGIN REFUSED FROM 194.102.107.185
Mar 21 21:35:32 www sshd[5432]: Failed password for ROOT from 194.102.107.185 port 1698
Mar 21 21:35:40 www sshd[5432]: ROOT LOGIN REFUSED FROM 194.102.107.185
Mar 21 21:35:40 www sshd[5432]: Failed password for ROOT from 194.102.107.185 port 1698
Mar 21 21:35:57 www sshd[5432]: ROOT LOGIN REFUSED FROM 194.102.107.185
Mar 21 21:35:57 www sshd[5432]: Failed password for ROOT from 194.102.107.185 port 1698
Mar 21 21:36:00 www sshd[5432]: Connection closed by 194.102.107.185


当时就立即修改admin和ftpd用户的密码,却发现不行,这时候犯了一个致命的错误,没能马上关机,而是重起了,重起后发现自己进不了系统。没办法,只好由他胡作非为了,第二天一到公司,马上拔网线,进系统,发现系统里的所以的东西已经被删干净了。5555,哭也没眼泪,只能怪自己没能做好安全工作。

写下这些只是告诫那些linuxfans不要认为linux就是非常安全的,在没有任何安全配置的情况下仍然是赤裸裸的,很容易被人骇掉的。[/color:4bb6bdebbe]

本文由bixuan 发布于Linuxsky 论坛,网址:http://bbs.linuxsky.org/thread-157-1-1.html

搜索更多相关主题的帖子: rootkit google linuxPC xntps

TOP

Bluedata

版主

Rank: 7Rank: 7Rank: 7
2# 发表于 2004-3-25 02:01  只看该作者
受教了。

TOP

HOUSCOUS

版主

Rank: 7Rank: 7Rank: 7
3# 发表于 2004-3-25 07:47  只看该作者
是公司的服务器吗? 个人的机器还是不要24/7挂在网上的好.
卖什么好呢? www.y-channel.com 博客啊~~~ www.linuxer.us

TOP

hew

龙的宠物

管理员

Rank: 9Rank: 9Rank: 9
4# 发表于 2004-3-25 13:58  只看该作者
知道是怎么被人种下rootkit的吗?

TOP

HOUSCOUS

版主

Rank: 7Rank: 7Rank: 7
5# 发表于 2004-3-25 14:04  只看该作者
好刺激啊, 平时耳闻的骇客行为, 居然发生在我的朋友身上, HOHO.
卖什么好呢? www.y-channel.com 博客啊~~~ www.linuxer.us

TOP

bixuan

小试牛刀

Rank: 2
6# 发表于 2004-4-5 00:59  只看该作者
[quote="HOUSCOUS"]是公司的服务器吗? 个人的机器还是不要24/7挂在网上的好. [/quoteb]
不是公司的机器,是个人的了!

TOP

bixuan

小试牛刀

Rank: 2
7# 发表于 2004-4-5 01:00  只看该作者
[quote="hew"]知道是怎么被人种下rootkit的吗?[/quote2]
已经查不到了,日志已经被删光了!唯一的就是剩下上面的文档了!

TOP

bixuan

小试牛刀

Rank: 2
8# 发表于 2004-4-5 01:01  只看该作者
[quote="HOUSCOUS"]好刺激啊, 平时耳闻的骇客行为, 居然发生在我的朋友身上, HOHO.[/quotea]
嘿嘿,确实刺激!当时发现被黑,并没有生气,只是感觉越来越好玩!

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题