2008-01-12

遭遇黑客软件

昨晚突然发现电脑变慢,ps一看有好多以www用户名的进程,我可没有这个用户啊,再看那些进程,一堆scan和一个httpd等,真是可疑。

然后去/proc/查看,那些文件的可执行文件都位于/tmp/.a,里面除了这个scanner和httpd外,还有bruteforce和一个弱密码字典,以及一些扫描的log。 哇,中招了!

于是赶紧杀进程,然后想删掉这些文件,却总是报Segmentation fault, 之后又试了几个命令,也是报这个错,我看了一下/bin, 啊,原来很多命令的文件都被修改了。 于是重启,发现启动过程中都是Segmentation fault, 一下子懵住了。 当时太困了,不知所措,只好关掉等今天解决。

实在是不想重装,于是试图恢复,首先用live cd启动,把/bin的那些文件拷过去一份,然后搜了下/sbin,/usr/bin等重要文件夹,没有被改动的样子(这里/bin,/sbin,/usr/bin都是硬盘上的而不是live cd上的), 之后,用chroot和aptitude重装了一下coreutils,为了保险,把一些*utils都重装了一下。

然后重启,似乎是正常了,松了一口气。但是还是要观望一段时间,看有没有什么遗留的。

现在想一下,根据那个文件夹里的log和字典文件推断,那个scanner是破解ssh里高权限用户的密码,然后一看我这里的root密码,天啊,原来是个弱密码,我才想起来当时装MySQL时图省事弄的,结果现在忘了。。真是敲响了警钟。

另外上网搜了一下相关资料,除了看到一个人跟我有类似情况外,没有别的有用的信息,看来这个东西还是挺新的。

现在赶紧把ssh的root登录关掉。

总之是第一次有这种经历,万幸阿,那个程序没给我rm -rf /, 我作业还没写完呢。。
发表评论