有人显然闯入这个盒子(可能是通过ftp或ssh),然后放一些irc管理的rootkit.
现在我正在尝试清理整个过程,我发现过程pid试图通过irc连接,但我无法弄清楚谁是调用过程(已经看过ps,pstree,lsof)
该过程是由www用户拥有的perl脚本,但ps aux | grep在最后一列显示伪文件路径.
有没有另一种方法来追踪pid并抓住调用者?
忘了提一下:内核是2.6.23,可以利用成为root用户,但是我不能太多触摸这台机器,所以我无法升级内核
编辑:lsof可能会有所帮助:
lsof -p 9481
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAMEss
perl 9481 www cwd DIR 8,2 608 2 /ss
perl 9481 www rtd DIR 8,2 608 2 /ss
perl 9481 www txt REG 8,2 1168928 38385 /usr/bin/perl5.8.8ss
perl 9481 www mem REG 8,2 135348 23286 /lib64/ld-2.5.soss
perl 9481 www mem REG 8,2 103711 23295 /lib64/libnsl-2.5.soss
perl 9481 www mem REG 8,2 19112 23292 /lib64/libdl-2.5.soss
perl 9481 www mem REG 8,2 586243 23293 /lib64/libm-2.5.soss
perl 9481 www mem REG 8,2 27041 23291 /lib64/libcrypt-2.5.soss
perl 9481 www mem REG 8,2 14262 23307 /lib64/libutil-2.5.soss
perl 9481 www mem REG 8,2 128642 23303 /lib64/libpthread-2.5.soss
perl 9481 www mem REG 8,2 1602809 23289 /lib64/libc-2.5.soss
perl 9481 www mem REG 8,2 19256 38662 /usr/lib64/perl5/5.8.8/x86_64-linux-threa d-multi/auto/IO/IO.soss
perl 9481 www mem REG 8,2 21328 38877 /usr/lib64/perl5/5.8.8/x86_64-linux-threa d-multi/auto/Socket/Socket.soss
perl 9481 www mem REG 8,2 52512 23298 /lib64/libnss_files-2.5.soss
perl 9481 www 0r FIFO 0,5 1068892 pipess
perl 9481 www 1w FIFO 0,5 1071920 pipess
perl 9481 www 2w FIFO 0,5 1068894 pipess
perl 9481 www 3u IPv4 130646198 TCP 192.168.90.7:60321->www.****.net:ircd (SYN_SENT)
解决方法
对不起,但这是解决你自己rootkitted的唯一安全方法.
之后您可以检查图像,出于某些原因,为什么会发生.
根据我个人的经验,我做了这个,后来发现一个内部用户,其中包含一个包含openssl缺陷的SSH密钥.
我希望,它清除了事情.
注意:
如果要在重新安装之前对服务器进行映像/备份,请务必小心,如何执行此操作.正如@dfranke所说,从可信媒体启动到备份.
您不应该从根服务器连接到其他计算机,因为已知大型rootkit能够通过SSH等可信会话进行传播.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。