无码视频在线观看,99人妻,国产午夜视频,久久久久国产一级毛片高清版新婚

  • 始創(chuàng)于2000年 股票代碼:831685
    咨詢熱線:0371-60135900 注冊有禮 登錄
    • 掛牌上市企業(yè)
    • 60秒人工響應(yīng)
    • 99.99%連通率
    • 7*24h人工
    • 故障100倍補償
    全部產(chǎn)品
    您的位置: 網(wǎng)站首頁 > 幫助中心>文章內(nèi)容

    記一次簡單的linux肉雞檢測 (4)
    發(fā)布時間:  2012/8/15 18:10:20

    .so
    3 2663 root mem REG 253,0 1576952 8586730 /lib/libc-2.5.so
    3 2663 root mem REG 253,0 101036 8586743 /lib/libnsl-2.5.so
    3 2663 root mem REG 253,0 15264 8586757 /lib/libutil-2.5.so
    3 2663 root mem REG 253,0 27836 8585303 /lib/libcrypt-2.5.so
    3 2663 root 0u CHR 1,3 1517 /dev/null
    3 2663 root 1u CHR 1,3 1517 /dev/null
    3 2663 root 2u CHR 1,3 1517 /dev/null
    3 2663 root 3u IPv4 9895 TCP *:65530 (LISTEN)
    [root@localhost sbin]# lsof -p 2679
    COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
    ttymon 2679 root cwd DIR 253,0 4096 2 /
    ttymon 2679 root rtd DIR 253,0 4096 2 /
    ttymon 2679 root txt REG 253,0 93476 852119 /sbin/ttymon
    ttymon 2679 root mem REG 253,0 46740 8585257 /lib/libnss_files-2.5.so
    ttymon 2679 root mem REG 253,0 121684 8586729 /lib/ld-2.5.so
    ttymon 2679 root mem REG 253,0 1576952 8586730 /lib/libc-2.5.so
    ttymon 2679 root 3u raw 9925 00000000:0001->00000000:0000 st=07

    監(jiān)聽65530端口的是個ssh后門:

    [root@localhost sbin]# nc 127.0.0.1 65530
    SSH-1.5-2.0.13

    Protocol mismatch.

    密碼應(yīng)該在:

    [root@localhost sbin]# cat /etc/sh.conf
    76800957735704ee3dd8ac42779db49a -

    加密了,我們再看看另外一個配置文件:

    [root@localhost sbin]# cat /lib/lidps1.so
    ttyload
    shsniff
    shp
    shsb
    hide
    burim
    synscan
    mirkforce
    ttymon
    sh2-power

    看來是ps的配置文件。

    看看另外一個進(jìn)程:

    [root@localhost sbin]# strings /sbin/ttymon
    ............(省略若干行)
    Usage: %s <dst> <src> <size> <number>
    Ports are set to send and receive on port 179
    dst: Destination Address
    src: Source Address
    size: Size of packet which should be no larger than 1024 should allow for xtra header info thru routes
    num: packets
    Could not resolve %s f**knut

    根據(jù)這個Google了下,應(yīng)該是個dos工具。感興趣的可以編譯下玩玩看看:http://www.securityfocus.com/archive/82/334848這里有。

    ok我們現(xiàn)在進(jìn)入黑客的老巢:

    [root@localhost sbin]# cd /usr/lib/libsh
    [root@localhost libsh]# ls -al
    total 140
    drwxr-xr-x 6 root root 4096 Dec 18 2008 .
    drwxr-xr-x 118 root root 69632 Jul 17 13:55 ..
    drwxr-xr-x 2 root root 4096 Dec 18 2008 .backup
    -rwxr-xr-x 1 122 114 1206 Apr 18 2003 .bashrc
    -rwxr-xr-x 1 122 114 2000 Nov 28 2006 hide
    drwxr-xr-x 2 root root 4096 Dec 18 2008 .owned
    -rwxr-xr-x 1 122 114 1345 Nov 28 2006 shsb
    drwxr-xr-x 2 root root 4096 Jul 14 04:03 .sniff
    drwxr-xr-x 2 gaobo gaobo 4096 Nov 28 2006 utilz
    [root@localhost libsh]# ls .backup/
    dir find ifconfig ls lsof md5sum netstat ps pstree top
    上面就是我們系統(tǒng)備份的文件,直接恢復(fù)即可。

    find搜下其他的配置文件。此步驟省略。最后都找到了:

    [root@localhost libsh]# find / -nouser
    /lib/libsh.so/shhk.pub
    /lib/libsh.so/shhk
    /lib/libsh.so/shrs
    ............(省略若干行)

    [root@localhost libsh]# cd /lib/libsh.so/
    [root@localhost libsh.so]# ls
    bash shdcf shhk shhk.pub shrs

    這個目錄是ssh的配置文件
    其他的用關(guān)鍵字就可以了:如find / -name "*" -exec grep -l "ttyload" {} \;

    [root@localhost lib]# cat /usr/include/proc.h
    3 burim
    3 mirkforce
    3 synscan
    3 ttyload
    3 shsniff
    3 ttymon
    3 shsb
    3 shp
    3 hide
    4 ttyload
    [root@localhost lib]# cat /usr/include/file.h
    sh.conf
    libsh
    .sh
    system
    shsb
    libsh.so
    shp
    shsniff
    srd0
    [root@localhost lib]# cat /usr/include/hosts.h
    2 212.110
    2 195.26
    2 194.143
    2 62.220
    3 2002
    4 2002
    3 6667
    4 6667
    3 65530
    4 65530
    [root@localhost lib]# cat /usr/include/log.h
    mirkforce
    synscan
    syslog

    那看看他怎么啟動的:
    [root@localhost lib]# cat /etc/inittab
    #
    # inittab This file describes how the INIT process should set up
    # the system in a certain run-level.
    #
    # Author: Miquel van Smoorenburg, <miquels@drinkel.nl.mugnet.org>
    # Modified for RHS Linux by Marc Ewing and Donnie Barnes
    #

    # Default runlevel. The runlevels used by RHS are:
    # 0 - halt (Do NOT set initdefault to this)
    # 1 - Single user mode
    # 2 - Multiuser, without NFS (The same as 3, if you do not have networking)
    # 3 - Full multiuser mode
    # 4 - unused
    # 5 - X11
    # 6 - reboot (Do NOT set initdefault to this)
    #
    id:5:initdefault:

    # System initialization.
    si::sysinit:/etc/rc.d/rc.sysinit

    l0:0:wait:/etc/rc.d/rc 0
    l1:1:wait:/etc/rc.d/rc 1
    l2:2:wait:/etc/rc.d/rc 2
    l3:3:wait:/etc/rc.d/rc 3
    l4:4:wait:/etc/rc.d/rc 4
    l5:5:wait:/etc/rc.d/rc 5
    l6:6:wait:/etc/rc.d/rc 6

    # Trap CTRL-ALT-DELETE
    ca::ctrlaltdel:/sbin/shutdown -t3 -r now

    # When our UPS tells us power has failed, assume we have a few minutes


    億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
       聯(lián)系:億恩小凡
       QQ:89317007
       電話:0371-63322206


    本文出自:億恩科技【mszdt.com】

    服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
  • 您可能在找
  • 億恩北京公司:
  • 經(jīng)營性ICP/ISP證:京B2-20150015
    •
  • 億恩鄭州公司:
  • 經(jīng)營性ICP/ISP/IDC證:豫B1.B2-20060070
    •
  • 億恩南昌公司:
  • 經(jīng)營性ICP/ISP證:贛B2-20080012
    •
  • 服務(wù)器/云主機 24小時售后服務(wù)電話:0371-60135900
  • 虛擬主機/智能建站 24小時售后服務(wù)電話:0371-60135900
    •
    專注服務(wù)器托管17年
    掃掃關(guān)注-微信公眾號
    0371-60135900
    Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權(quán)所有  地址:鄭州市高新區(qū)翠竹街1號總部企業(yè)基地億恩大廈  法律顧問:河南亞太人律師事務(wù)所郝建鋒、杜慧月律師   京公網(wǎng)安備41019702002023號
      1
     
     
     
     

    0371-60135900
    7*24小時客服服務(wù)熱線