转至繁体中文版     | 网站首页 | 图文教程 | 资源下载 | 站长博客 | 图片素材 | 武汉seo | 武汉网站优化 | 
最新公告:     敏韬网|教学资源学习资料永久免费分享站!  [mintao  2008年9月2日]        
您现在的位置: 学习笔记 >> 图文教程 >> 数据库 >> MySql >> 正文
分析一个linux下的蠕虫         ★★★★

分析一个linux下的蠕虫

作者:闵涛 文章来源:闵涛的学习笔记 点击数:1872 更新时间:2009/4/22 20:47:27
到mworm.tgz文件
(这两个检测并不一定准确,因为syslogd被停了,如果有设代理的话则可能在代理的记录里可能找到)
tcp连接到端口1338——绑定的后门
从53端口的外发信息——可能是bind漏洞攻击
从110端口的外发信息——可能是qpopper漏洞攻击
从143端口的外发信息——可能是imapd漏洞攻击
从635端口的外发信息——可能是rpc.mountd漏洞的攻击
从23端口的外发信息——可能是worm在通过remotecmd散布


3、预防

升级——worm是利用系统的远程漏洞获得roo权限才能攻击的,如果升级到最新的版本,就不会存在这些特殊而且明显的漏洞了,那么也就有效地将worm阻于门外,不过要记住,任何一个攻击者都可以轻易地将这个worm稍加更改用于现在的系统,现在的漏洞,来攻击你现在的机器;),所以最的的办法只能是关注网络安全;)

红帽子的用户可以到http://www.redhat.com/errata/获取相关信息

4、修复

如果已经被worm感染的话,要修复它是很容易的,你只需要:

删除suid的root shell[/bin/rm -rf /tmp/.mwsh]
停止运行中的worm进程[/usr/bin/killall -9 mworm]
去除在mworm文件上的写保护标记[/usr/bin/chattr -R -ia /tmp/....]
删除worm文件[/bin/rm -rf /tmp/....]
将正常的ps文件拷回去[/bin/cp /bin/.ps /bin/ps]——最好重新build一个吧;)
将mw用户从/etc/passwd中移除[/usr/sbin/userdel -r mw]
将worm的自启动的东西从/etc/rc.d/rc.local及/etc/profile中删除
杀掉bd的后门的进程,如果你已经删掉了worm的文件,重新启动就可以去掉它了

如果你已经被worm所感染的话,那至少表明你的系统曾经完全地被别人拥有过,他有能力对系统做任何事,所以仅仅杀掉worm的进程,删除其文件,删除mw的用户等工作仅仅是去掉了一些公式化的东西,所以不能保证你的机器里还有些什么新奇有趣的后门或者其它东西,最好的办法——还是关注安全……


上一页  [1] [2] 


没有相关教程
教程录入:mintao    责任编辑:mintao 
  • 上一篇教程:

  • 下一篇教程:
    • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
      注:本站部分文章源于互联网,版权归原作者所有!如有侵权,请原作者与本站联系,本站将立即删除! 本站文章除特别注明外均可转载,但需注明出处! [MinTao学以致用网]
      网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
    同类栏目
    · Sql Server  · MySql
    · Access  · ORACLE
    · SyBase  · 其他
    更多内容
    热门推荐 更多内容
  • 没有教程
    		•
    赞助链接
    更多内容
    闵涛博文 更多关于武汉SEO的内容
    500 - 内部服务器错误。

    500 - 内部服务器错误。

    您查找的资源存在问题,因而无法显示。
    | 设为首页 |加入收藏 | 联系站长 | 友情链接 | 版权申明 | 广告服务
    MinTao学以致用网

    Copyright @ 2007-2012 敏韬网(敏而好学,文韬武略--MinTao.Net)(学习笔记) Inc All Rights Reserved.
    闵涛 投放广告、内容合作请Q我! E_mail:admin@mintao.net(欢迎提供学习资源)

    站长:MinTao ICP备案号:鄂ICP备11006601号-18

    闵涛站盟:医药大全-武穴网A打造BCD……
    		咸宁网络警察报警平台