|
引用 | 編輯
pigpig5442
2005-03-21 02:37 |
樓主
|
||
x0
(1) 入侵者會在你的 Unix 機器上借由 /etc/inittab 或是 /etc/rc.d/rc.sysinit 執行以下的程式 # X11R6 Control Daemon xc::once:/sbin/xc -q 或是 # X11R6 Control Daemon # /sbin/xc -q 1>/dev/null 2>/dev/null (2) 其實它是一支 ssh 的 daemon 程式 (常駐在 60000 或是 55559 或是這中間的 TCP Port) , 入侵者透過產生的 public key 來讓他從端遠使用 root 的身分來登入你的機 器 , 然後它就可以做他想做的事 ..... (3) 推測可能是透過 SSH 服務裡面的 OpenSSL 的 Buffer Overflow 來入侵的 , 躲在 Firewall 或是 IP-Sharing 後面的目前都沒有事 B. [病情] (1) ls -al /sbin/xc => 這支程式存在 (2) ls -al /dev/fdg => 這個目錄存在 (3) vi /etc/inittab 或是 vi /etc/rc.d/rc.sysinit => 最後面有以上的內容 C . [清除] (1) 修改 /etc/inittab 或是 /etc/rc.d/rc.sysinit 清除以上的內容 (2) 砍掉 /sbin/xc (3) 砍掉 /dev/fdg 目錄 (4) 殺掉 /sbin/xc 這個 Process => "killall -9 xc" (5) 重新執行 sshd => "/etc/init.d/sshd restart" (6) 最後執行 "nmap localhost -p1-65535" 來掃描看看使否還有其他不正常的 Port (如 port : 60000)  x0
|
|||