一次消无声息的系统被入侵经历
2008-05-02 22:57
288 查看
[align=center]一次消无声息的系统入侵经历[/align]
在例行维护中有台linux server 运行缓慢,我注意到inetd.conf的末尾出现一条奇怪的纪录。
netstat stream tcp nowait root /usr/lib/netstat netstat
这条纪录看上去不对。我就检查了和这台机器一同安装的机器,结果没有发现有这一行。这时CPU达到了100%利用率。接着用nc程序,将文件ps,netstat ,ls,top,从我怀疑的机器copy到了安全无故障的机器上。通过对比MD5,发现程序没有问题。排除了rootkit.那CPU利用率高怎么解释?这时候想起来看看日志.有个疑点,从3月18日到3月28日期间,在/var/log/secure中没有任何登陆纪录.,而那几天我肯定登陆机器了.而删除log需要root权限,从而断定系统被攻破.我只好在交换机上作SPAN,把故障机器的流量镜想到安装协议分析的电脑上.我们看看nmap稍描得结果:
laptop#nmap -sS -pl -O 192.168.0.1
有很多服务显示"unknown"先纪录下来,稍后处理.然后我运行lsof,把系统中打开着的传输层网络文件描述符列出.
#lsof egrep "TCP|UDP"
结果发现一些东西在TCP端口3457,32411上监听,我们再用ngrep来显示流经32411的TCP流量.
用mactime程序发现了可疑点, /mount/lib/modules/2.4.18.3/net/ipv6.0 209 .a. -rwx------ root root我知道这台机器没装ipv6协议.用strings程序看看ipv6.o的二进制文件本生更显示
#string ipv6.0
.............
另外我还注意到一个inode被该动
# diff rc.local /etc/rc.d/rc.local/ 36d35 < /usr/sbinb/initd
initd也是shell程序,我们看看实际内容
# cat /usr/sbin/initd/
发现其中有一行 /sbin/insmod -f /lib/modules /2.4.18.3/net/ipv6.0 > /dev/null 2 >/dev/null
/usr/sbin/rpc.status,随后我又检查了rpc.status.为深入了解rpc.status功能需要执行反汇编.我已有足够的信息知道里面发现的事情了.
本文出自 “李晨光原创技术博客” 博客,转载请与作者联系!
在例行维护中有台linux server 运行缓慢,我注意到inetd.conf的末尾出现一条奇怪的纪录。
netstat stream tcp nowait root /usr/lib/netstat netstat
这条纪录看上去不对。我就检查了和这台机器一同安装的机器,结果没有发现有这一行。这时CPU达到了100%利用率。接着用nc程序,将文件ps,netstat ,ls,top,从我怀疑的机器copy到了安全无故障的机器上。通过对比MD5,发现程序没有问题。排除了rootkit.那CPU利用率高怎么解释?这时候想起来看看日志.有个疑点,从3月18日到3月28日期间,在/var/log/secure中没有任何登陆纪录.,而那几天我肯定登陆机器了.而删除log需要root权限,从而断定系统被攻破.我只好在交换机上作SPAN,把故障机器的流量镜想到安装协议分析的电脑上.我们看看nmap稍描得结果:
laptop#nmap -sS -pl -O 192.168.0.1
有很多服务显示"unknown"先纪录下来,稍后处理.然后我运行lsof,把系统中打开着的传输层网络文件描述符列出.
#lsof egrep "TCP|UDP"
结果发现一些东西在TCP端口3457,32411上监听,我们再用ngrep来显示流经32411的TCP流量.
用mactime程序发现了可疑点, /mount/lib/modules/2.4.18.3/net/ipv6.0 209 .a. -rwx------ root root我知道这台机器没装ipv6协议.用strings程序看看ipv6.o的二进制文件本生更显示
#string ipv6.0
.............
另外我还注意到一个inode被该动
# diff rc.local /etc/rc.d/rc.local/ 36d35 < /usr/sbinb/initd
initd也是shell程序,我们看看实际内容
# cat /usr/sbin/initd/
发现其中有一行 /sbin/insmod -f /lib/modules /2.4.18.3/net/ipv6.0 > /dev/null 2 >/dev/null
/usr/sbin/rpc.status,随后我又检查了rpc.status.为深入了解rpc.status功能需要执行反汇编.我已有足够的信息知道里面发现的事情了.
本文出自 “李晨光原创技术博客” 博客,转载请与作者联系!
相关文章推荐
- 记一次入侵XP系统的经历
- 一次通过 Oracle8i 入侵系统之旅
- 记一次阿里云上Redis服务器被入侵的经历
- 一次部署windows2008r2+sqlserer2008双机热备的经历,在64位系统下
- 记录一次被入侵5900端口经历
- 一次Linux服务器被入侵和删除木马程序的经历
- Linux系统被入侵后处理经历
- 一次小系统的快速开发经历
- 记录一次大规模linux系统root密码撞库的经历
- 记一次Linux系统被入侵的排查过程(一)
- CPU风扇进入系统后停转的解决方案(一次郁闷的二手经历)
- 一次服务器被入侵的经历
- 一次小系统的快速开发经历
- 记一次dell R720服务器ESXI5.5系统宕机的奇葩经历
- linux系统被入侵后处理经历
- 使用cpio命令导致系统几乎崩溃的一次经历
- linux系统被入侵后处理经历 推荐
- 记一次Linux系统被入侵的过程
- 一次通过Oracle8i入侵系统之旅(图)
- 一次Linux系统恢复的经历