最近學校的電腦有幾台使用者不管的電腦有個使用者的密碼被猜到,侵入的 angelbot 用 ssh 登錄,然後會載入一堆針對 linux 中許多程式的漏洞來攻擊的程式取得 root 權限,然後會再去掃描其他電腦的 ssh 的 user/password 組合。這個 bot 應該是可以從遠端 irc 中控制。
如果發現系統中,有個 angel 的帳號的話,那就是中獎了。這個 bot 藏在 /var/tmp 的一個目錄,這個目錄名是 “. “,所以不小心看,會以為這是 “.” 目錄,要進這個目錄,要 ‘cd ". /"‘。進去後會有一堆 cracker 用的工具。
不要有亂七八糟的使用者帳號,沒事去看看 /var/log/auth.log 或是 /var/log/secure,如果被入侵了,記得把 “. ” 擦乾淨。
(另一個 angelbot 的 trace 是這個 bot 會跑一個叫 “[httpd]” process 來跟遠方的 bot 透過 port 8888 眉來眼去。不注意看的話也是很容易漏掉。)
