这是一个运行 ubuntu 8.04 服务器的服务器,知道发生了什么吗?
# ls
-bash: /bin/ls: No such file or directory
# /bin/ls
-bash: /bin/ls: No such file or directory
# stat /bin/ls
File: `/bin/ls'
Size: 39696 Blocks: 80 IO Block: 4096 regular file
Device: 803h/2051d Inode: 1073910881 Links: 1
Access: (0755/-rwxr-xr-x) Uid: ( 122/ UNKNOWN) Gid: ( 114/Debian-exim)
Access: 2008-06-05 15:07:22.491486000 -0700
Modify: 2008-04-03 23:44:23.000000000 -0700
Change: 2009-05-21 07:42:45.715736917 -0700
#:/bin# dd if=/bin/ls of=/dev/null
77+1 records in
77+1 records out
39696 bytes (40 kB) copied, 0.000157908 s, 251 MB
我不知道它是如何得到奇怪的 GID 和 UID,在 /etc/passwd 中都不存在
我最近执行了 ubuntu NTP 更新以修复安全漏洞。
更新:我刚刚注意到 /bin/netstat 有同样的问题
更新:看起来我已经扎根了,运行 rkhunter 并找到了一个工具包......
Zor*_*che 12
让 ls 和 netstat 在系统上中断听起来很可疑,就像黑客为避免检测而做的事情一样。通常他们会尝试修补这些工具以防止检测到他们安装或创建的工具和后门。您可能需要考虑重新启动到 livecd,然后检查这些文件的 md5sums。
如果系统受到损害,请检查这些问题以获取有关如何处理这种情况的一些建议。
| 归档时间: |
|
| 查看次数: |
13190 次 |
| 最近记录: |