发现服务器被入侵了,有图有真相

今晚更新了HomeServer,刚好准备上传到服务器上,把旧的HomeServer删掉。意外发现了一些莫名其妙的进程。

 

登录用户为hehe,是我很久之前创建的一个账户,密码估计也是hehe或者hehewater。

 

我很久没有使用过这个账户了,然后断定服务器被入侵了。hehe用户的密码也被修改了。使用下面的命令把hehe的进程结束掉:

ps aux | grep hehe | awk "{print $2}" | xargs kill -9

 

我查了一下登录痕迹,正好有记载,看来入侵的人只有普通用户权限。

 

 

似乎入侵者使用了代理,几次登录的IP都不一样。guest也是非法登录的,因为guest的密码很简单,就是guest。但是登录进去没有啥权限,只能ls,或者玩完代理,哈哈!不过我现在已经改了密码,ls命令也禁用了。

 

接着追踪一下入侵者的程序,其中有个程序名为a,则搜索一下目录。

find /  -name "a"

 

然后找到了位置在 /dev/shm/.scan/a

 

我进入 /dev/shm/.scan 一看,豁然开朗,哇,好多东东,都是我看不懂的东西。从文件内容来看,估计不是中国人用的东西。有些奇妙的字符~~

 

另外还有一个目录 /dev/shm/bp 也是 入侵者创建的。我现在把这些目录都给删除了!截图留念:

 

 

不过,这些文件我作了备份,大家可以下载研究一下:

http://home.xxsyzx.com/upfiles/scantools.tar

 

总结了一下,入侵者利用guest和hehe的弱口令登录了进去,运行了自己的命令。而且vsftpd给本地用户也启用了,入侵者能够利用它来上传文件,或者更简单点时用wget来下载的。

哈哈,又让我想起之前某网站的后台管理和ewebeditor的登录账号都是admin,密码admin。

发现服务器被入侵了,有图有真相》有17个想法

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据