到mworm.tgz文件
(这两个检测并不一定准确,因为syslogd被停了,如果有设代理的话则可能在代理的记录里可能找到)
tcp连接到端口1338——绑定的后门
从53端口的外发信息——可能是bind漏洞攻击
从110端口的外发信息——可能是qpopper漏洞攻击
从143端口的外发信息——可能是imapd漏洞攻击
从635端口的外发信息——可能是rpc.mountd漏洞的攻击
从23端口的外发信息——可能是worm在通过remotecmd散布
3、预防
升级——worm是利用系统的远程漏洞获得roo权限才能攻击的,如果升级到最新的版本,就不会存在这些特殊而且明显的漏洞了,那么也就有效地将worm阻于门外,不过要记住,任何一个攻击者都可以轻易地将这个worm稍加更改用于现在的系统,现在的漏洞,来攻击你现在的机器;),所以最的的办法只能是关注网络安全;)
红帽子的用户可以到http://www.redhat.com/errata/获取相关信息
4、修复
如果已经被worm感染的话,要修复它是很容易的,你只需要:
删除suid的root shell[/bin/rm -rf /tmp/.mwsh]
停止运行中的worm进程[/usr/bin/killall -9 mworm]
去除在mworm文件上的写保护标记[/usr/bin/chattr -R -ia /tmp/....]
删除worm文件[/bin/rm -rf /tmp/....]
将正常的ps文件拷回去[/bin/cp /bin/.ps /bin/ps]——最好重新build一个吧;)
将mw用户从/etc/passwd中移除[/usr/sbin/userdel -r mw]
将worm的自启动的东西从/etc/rc.d/rc.local及/etc/profile中删除
杀掉bd的后门的进程,如果你已经删掉了worm的文件,重新启动就可以去掉它了
如果你已经被worm所感染的话,那至少表明你的系统曾经完全地被别人拥有过,他有能力对系统做任何事,所以仅仅杀掉worm的进程,删除其文件,删除mw的用户等工作仅仅是去掉了一些公式化的东西,所以不能保证你的机器里还有些什么新奇有趣的后门或者其它东西,最好的办法——还是关注安全……
上一页 [1] [2] |
