实验室有个机器坏了,他们怀疑是被黑了,因为ip访问有从埃及来用git登录的。可以认为0防护,而且密码超简单。
那个机器,动态链接的程序都可以执行,静态链接的全挂了(我试了df, grep。通过ldd确认是静态链接的)(他图形界面都能起来,动态链接的应该都没问题)。
当然,也有可能是有选择性地毁坏了一些binary。不过bash可以起(是动态链接的),我觉得要黑应该把bash也挂掉吧。
比如readelf -a
grep
readelf: Error:
他们开了个gitlab,所以有git账户。那个埃及ip(和另一个某异域风情ip)是用这个账户登入的。
Sincerely,
王文鑫
Wenxin Wang
Department of Electronic Engineering,
Tsinghua University,
Beijing 100084, P. R. China
(+86)18811369901
Email:wangw...@mails.tsinghua.edu.cn
2015-07-28 20:06 GMT+08:00 Christopher Meng i...@cicku.me:
On Tue, Jul 28,
是的。
他们说现在开机只能进single模式,所以没有网。
Sincerely,
王文鑫
Wenxin Wang
Department of Electronic Engineering,
Tsinghua University,
Beijing 100084, P. R. China
(+86)18811369901
Email:wangw...@mails.tsinghua.edu.cn
On Tue, Jul 28, 2015 at 5:29 PM, Wang Shanker shankerwangm...@gmail.com wrote:
你的意思是说,出问题的是虚拟机?
日志……现在不知道怎么弄出来呢他们。
single模式貌似网卡不能开,vmware的控制台,不知道是他们不会用还是怎样,连屏幕上复制都做不到……
Sincerely,
王文鑫
Wenxin Wang
Department of Electronic Engineering,
Tsinghua University,
Beijing 100084, P. R. China
(+86)18811369901
Email:wangw...@mails.tsinghua.edu.cn
2015-07-28 20:06 GMT+08:00 Christopher Meng
方便的话找几个静态链接的程序供下载吧
On 2015-07-28, Charlie Brown wrote:
实验室有个机器坏了,他们怀疑是被黑了,因为ip访问有从埃及来用git登录的。可以认为0防护,而且密码超简单。
那个机器,动态链接的程序都可以执行,静态链接的全挂了(我试了df, grep。通过ldd确认是静态链接的)(他图形界面都能起来,动态链接的应该都没问题)。
当然,也有可能是有选择性地毁坏了一些binary。不过bash可以起(是动态链接的),我觉得要黑应该把bash也挂掉吧。
比如readelf -a
On Tue, Jul 28, 2015 at 4:05 PM, Charlie Brown stieizc...@gmail.com wrote:
实验室有个机器坏了,他们怀疑是被黑了,因为ip访问有从埃及来用git登录的。可以认为0防护,而且密码超简单。
你说的 git 登录是什么意思?
那个机器,动态链接的程序都可以执行,静态链接的全挂了(我试了df, grep。通过ldd确认是静态链接的)(他图形界面都能起来,动态链接的应该都没问题)。
当然,也有可能是有选择性地毁坏了一些binary。不过bash可以起(是动态链接的),我觉得要黑应该把bash也挂掉吧。
bash
怀疑是rootkit,以前ssh密码太弱中过招,把我的grep, ls, top, md5sum, pstree, netstat, ps
这些查看系统状态的bin都替换了
2015-07-28 22:37 GMT+08:00 Ray Song i...@maskray.me:
方便的话找几个静态链接的程序供下载吧
On 2015-07-28, Charlie Brown wrote:
实验室有个机器坏了,他们怀疑是被黑了,因为ip访问有从埃及来用git登录的。可以认为0防护,而且密码超简单。
那个机器,动态链接的程序都可以执行,静态链接的全挂了(我试了df,