虎绿林成功被黑客入侵 - 讨论/求助

标题: 虎绿林成功被黑客入侵

时间: 2016-12-07发布，2016-12-07修改

点击: 6606

昨天临时把root密码改成了qazwsxedc，然后忘了改回来，然后晚上就被别人挂肉鸡客户端了。

被用于DDoS攻击，然后被Vultr网络监控发现，关机了。

今天我备份并重装了系统，并且切换到了日本机房。

以下是那个肉鸡客户端的基本信息：

/usr/bin/rucxaezecl 是客户端本身，但是如果直接在shell里执行它，它会删除自己。

提供一个客户端样本，从上个机器提取出来的。请不要在容易被封或者有重要数据的机器中运行！
rucx.tar.gz（280.43 KB）

------------------------------------------
# cat /etc/init.d/rucxaezecl
#!/bin/sh
# chkconfig: 12345 90 90
# description: rucxaezecl
### BEGIN INIT INFO
# Provides: rucxaezecl
# Required-Start:
# Required-Stop:
# Default-Start: 1 2 3 4 5
# Default-Stop:
# Short-Description: rucxaezecl
### END INIT INFO
case $1 in
start)
/usr/bin/rucxaezecl
;;
stop)
;;
*)
/usr/bin/rucxaezecl
;;
esac

------------------------------------
# file /usr/bin/rucxaezecl
/usr/bin/rucxaezecl: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped

------------------------------------
# systemctl status
├─rucxaezecl.service
│ ├─ 729 ls
│ ├─5190 ls -la
│ ├─5193 route -n
│ ├─5196 ls
│ ├─5198 uptime
│ └─5199 su

# systemctl status
├─rucxaezecl.service
│ ├─ 729 ls
│ ├─5795 ifconfig
│ ├─5798 grep "A"
│ ├─5801 pwd
│ ├─5803 sh
│ └─5804 who

# systemctl status
├─rucxaezecl.service
│ ├─ 729 ls
│ ├─5842 ps -ef
│ ├─5845 ifconfig eth0
│ ├─5848 netstat -an
│ ├─5850 id
│ └─5851 who

# systemctl status
├─rucxaezecl.service
│ ├─ 729 ls
│ ├─7439 ifconfig eth0
│ ├─7442 echo "find"
│ ├─7445 grep "A"
│ ├─7447 netstat -antop
│ ├─7448 echo "find"
│ ├─7458 ifconfig eth0
│ ├─7460 echo "find"
│ └─7461 bash

[隐藏样式|查看源码]

1 . 帖子搜索无法使用

(一抹微笑/@Ta/2016-12-07 12:53/样/源)

2 . @一抹微笑，对，让我安装一个memcached

(老虎会游泳/@Ta/2016-12-07 12:53/样/源)

3 . 难怪打不开

(JJ/@Ta/2016-12-07 12:55/样/源)

4 . 今天一早上就没打开过

(c/@Ta/2016-12-07 13:02/样/源)

5 . 你怎么找到他做的事情的呀

(弟妹/@Ta/2016-12-07 13:05/样/源)

6 . 我说呢

(快乐大本营/@Ta/2016-12-07 13:14/样/源)

7 . @弟妹，systemctl status

(老虎会游泳/@Ta/2016-12-07 13:17/样/源)

8 . 这段时间出现好几次了吧

(情醉中国风/@Ta/2016-12-07 13:28/样/源)

9 . 服务器也敢用这么弱的密码

，还是用密钥安全。

(幻阳化翼/@Ta/2016-12-07 14:00/样/源)

10 . 我的服务器不提供密码登陆，艹

(米者/@Ta/2016-12-07 14:28/样/源)

11 . @幻阳化翼，我只是用了这个密码10小时而已😭😭😭

(老虎会游泳/@Ta/2016-12-07 14:52/样/源)

12 . 👀

(20263/@Ta/2016-12-07 15:06/样/源)

13 . 经过测试的确还是日本速度最快

(萝莉控De团长/@Ta/2016-12-07 15:33/样/源)

14 . @老虎会游泳，我以前的那个毛病解决了没

(5258/@Ta/2016-12-07 16:41/样/源)

17 . 为什么要在标题加成功

(趣航科技小智/@Ta/2016-12-07 23:05/样/源)