最后问诸位一个问题:接下来我应该怎么调查呢?
已知疑点:
- 这个进程启动的是pptp点对点协议的服务
- 黑客把东西都放在
/var/cache/文件夹下,时间是几个月前,但是问题是最近才出现的。 - 同时我们发现,整个硬盘被撑爆了,不能通过
yum来下载任何东西,甚至连用vi编辑文件都不能(无法产生缓冲区)。
不知诸位有何推论?下一步该前往何方?
2014/7/4 更新
今天早上又去看了下……原来是黑客放了一系列脚本到/var/cache下。其中有一个install脚本,一旦执行它,就会添加一个用户到etc/passwd和etc/sudoers中,这样黑客就能通过这个用户登录并获得管理员权限了。而且这个脚本还会调用一连串其他脚本,最终在后台执行sbin这个程序。这样一来,把这个用户以及它的相关文件删掉就好了。猜测黑客也没有获得别的账号的密码,否则他就不需要自己弄一个账号出来。
至于为什么硬盘被撑爆了……这个跟黑客无关,是因为服务器长期没有打理,东西堆太多(而且本来硬盘也不大)。我们查了下几个占用空间特别大的文件夹,里面的文件都是黑客袭击之前就有的,而且都是正常的文件。
这次黑客入侵的事件大概可以告一段落了。虽然还是不知道黑客是怎么入侵到var/cache文件夹的,不过好在这个黑客并不高明,留下了太多的证据,让我们毫不费力地找到了真凶。
Read full article from 第一次身处黑客入侵的事故现场 - SegmentFault
No comments:
Post a Comment