by mutecat@byhh  2008.05.04

  linux木马？是不是很奇怪，大多数人的眼里，似乎只有Windows系统才会中木马、病毒

，而linux是安全的。但是安全是相对的，所以我们应该提高警惕。

  今天是五四青年节，一大早来到实验室，似乎五一三天的假期还在延续，还是没有多少

心思去过多的关注项目的事情，而且听说国家也有规定，18到24周岁的青年人五四是有半

天假期的，加上boss也不在，所以更加放松了，端着一杯茶，逛白云，逛新浪。

  正在休闲自得的时候，实验室一师弟反应linux服务器登录不进去了，当时也没太在意

，自己也试着登录进去，确实登录不了，于是跑到服务器前面捣鼓一番，试着用login命令

，问题出现了，grep、mount命令执行都出现段错误，之前服务器的boot目录和bin目录都

曾经被人误删除过(-_-用root用户一定要小心啊!)，所以第一反应就是查看history，用vi

打开root目录下的.bash_history文件，看到里面的内容我就知道这不是实验室的人干的，

历史记录显示有人对/etc/rc.d目录下的文件进行过N此操作，使用过ntsysv命令，使用过

passwd命令，用login的时候证实root密码确实被改了(之前我们使用的密码是123 @_@)。

此时就知道情况不妙，用last -20 查看了最近的20次登陆情况，发现如下疑点：

kumi     pts/2        85.121.98.8      Fri May  2 04:48 – 05:23  (00:34)
root     pts/0        85.121.98.8      Fri May  2 04:38 – 04:49  (00:10)
root     pts/0        59.108.36.6      Thu May  1 09:59 – 10:38  (00:38)

由于我们都是局域网，五一期间根本没人登录过服务器，就是登录也不会是在外网登录，

外网只有远在美国的导师会登录，但是即使是导师登录，用户名也不会是kumi，于是查

看了一下/etc/passwd文件，文件尾被加入了这一行：

kumi:x:0:528::/home/kumi:/bin/bash

kumi用户尽然和root属于一个group，至此基本确定服务器被“黑客”攻击了，

ps:

  我们的服务器是内网， 平时都是大家自己用，所以root密码设置成了123，由于前端

时间老板在美国要用，所以就在网关做了映射，但是对安全没有引起重视，所以没修改

root密码，导致了今天的后果。

前面说过，mount命令，grep命令都被替换了或修改了，运行出现段错误， 用ls看了一下

文件最新更新时间，显示的是5.4，也就是今天， 和windows一样，系统崩溃最好也是最

笨的办法就是重启，但是往往这时候系统能够工作是听天由命。

先说这么多，晚上还有活动，对不起大家了，明天继续。