接连收到学校的来信说我家的电脑成了 IRC bot。。但从来没想到是自己的 Linux 出了问题……
今天问学校要了详细信息,说是在 6667 端口有连接,就看了一下:
$ sudo netstat -pn | grep 6667 tcp 0 0 192.168.1.100:47803 208.83.20.130:6667 ESTABLISHED 1392/-sh tcp 0 0 192.168.1.100:45520 130.237.188.216:6667 TIME_WAIT - |
果然有个叫 “-sh” 的神秘进程!再一看:
$ sudo ps auxee | grep 1392 test 1392 0.0 0.0 2500 888 ? Ss 9月08 0:33 -shSHELL=/bin/sh USER=test PATH=. PWD=/home/test/.wapi SHLVL=3 HOME=/home/test LOGNAME=test _=./-sh |
原来是我很久以前测试时创建的 test 帐户,当时密码也是 test… 想 su 过去看看发生了什么,结果发现密码已经被改了。。用 root 登过去后,发现里面出现一系列神奇的脚本:
[test@chenxing-laptop ~]$ ls gosh/ 1 2 3 4 5 a common gen-pass.sh go.sh mfu.txt pass_file pscan2 scam secure ss ssh-scan vuln.txt |
………………
看来以后建 test 或 guest 这样的帐户时一定要小心,千万不要用 test 或 guest 本身做密码。。。真有人会来利用的。。虽然这样的帐户权限有限,应该不会对自己造成什么损失,不过。。。。