Re: [問題] 偽裝成 .. 的木馬資料夾

看板Linux作者 (爽就好)時間15年前 (2010/10/15 14:01), 編輯推噓1(100)
留言1則, 1人參與, 最新討論串3/3 (看更多)
嗯...很剛好的我是苦主... 我們實驗室的工作站都被植入了這樣一隻木馬 刪掉的事情小,後來用root 登入x-win的圖形介面就可以刪除了 問題是在昨天下午刪除並更換root密碼之後 昨天晚上又在/dev/shm/.. 發現了程式 中毒的症狀就是會執行svmap.py 和 scan 兩支程式 打開5060~5063的port 有人知道怎解嗎? 使用的系統是CentOS 5.5 後來有人提供了攻擊方式 http://0rz.tw/cIXMU 但是這個網頁沒有解法... ※ 引述《Holocaust123 (奔跑的蝸牛)》之銘言: : ※ 引述《james732 (好人超)》之銘言: : : 今天去處理一台疑似被入侵的電腦 : : 發現在 /tmp 底下竟然有兩個 '..' 資料夾 XD : : drwxrwxrwt 6 root root 1202 Oct 14 03:30 . : : drwxr-xr-x 46 root root 1536 Sep 27 16:18 .. : : drwxr-xr-x 4 root root 1536 Sep 22 23:52 .. : : 大概有點像這個樣子 XD : : 用 find 輸出的結果類似這樣: : : /tmp/.. /file1 : : /tmp/.. /file2 : : 可以看到它其實是 .. 後面加上一個印不出來的字元 : : 不過這種鬼東西,我還真不知道要怎麼刪掉 orz : : 因此想上來請教一下,對這樣的目錄要怎麼處理呢? : (不知道我想法有沒有問題...有錯請指正@@) : 法一 : 我覺得問題在於無法(或不易)打出那個"看不見的字元" : 解決方法就是利用shell的tab completion : 讓shell幫你把檔名補完 就不需自己手動打了 : 若是bash 請在家目錄下新增檔名為".inputrc"的檔案 : 內容是"\t": menu-complete : 然後cd到/tmp : rm -r <TAB> 個幾次 看到那資料夾出現就把它刪了 : 請參考: : 1. bash的tab-completion : http://hints.macworld.com/article.php?story=20050904022246573 : 2. tcsh的tab-completion : http://hints.macworld.com/article.php?story=20020215085858541 : 法二 : 用FileZilla或WinSCP連到該機器 : 然後直接從檔案總管裡刪資料夾 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.117.176.233
10/15 14:19, , 1F
檢查你的CROND跟RCLOCAL看看
10/15 14:19, 1F
※ 編輯: songisgood 來自: 140.117.176.233 (10/15 15:20)
更多 songisgood 的文章
文章代碼(AID): #1Cj-ucNG (Linux)
更多 songisgood 的文章
文章代碼(AID): #1Cj-ucNG (Linux)