本文共 666 字,大约阅读时间需要 2 分钟。
原贴: 钓鱼攻击| 版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 、作者信息和本声明。否则将追究法律责任。 |
| 今天早上接到方正宽带那边的电话,说公司这边有个IP为59.108.65.54的机器对Amazone进行钓鱼攻击.一会收到邮件,原来钓鱼连接是 马上在IE中测试了一下,果然是模仿的网站.去机房的该服务器的控制台上检查 输入命令 awk –F:’$3==0 {print }’ /etc/passwd来检查一下passwd文件中有哪些特权用户。(也可以vi /etc/passwd 查找uid=0的用户, :x:0:0:后面是2个0就表示是root,) 发现有一个ntpd的用户变成了root. NND.还发现一个sct的普通用户. 查询/var/log/secure 发现4月11日的时候ntpd成为root,/var/log/httpd/access_log中应该有详细的记录 apache中查到Amazon目录最早的访问时间是4月6日 查到源IP是89.33.90.238,查IP数据库是罗马尼亚的.估计是肉鸡. 杀掉httpd服务,然后删除/var/www/html/Amazon目录,结果说权限不够 lsattr 发现有su---ia------权限,去掉ia chattr -ia Amazon 然后rm -rf Amazon 这次可以删除了 接下来 vi /etc/passwd 把ntpd删除 本文出自 “” 博客,请务必保留此出处 |