December 6th, 2010

实验室服务器被黑记(下)

  本来这篇文章写的差不多了,后来一直忙,存成草稿没有发,直到最近才想起这回事来。简单分析了一下被植入的脚本,才学疏浅,有误的地方请同学们多指教。

  让我们先来看一下植入脚本的文件结构

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
root@delleon:~/tmp# find . -printf '%y %p\n'
d .
d ./conect1
f ./conect1/autorun
f ./conect1/run
f ./conect1/bash
f ./conect1/LinkEvents
f ./conect1/start
f ./conect1/inst
d ./conect1/r
f ./conect1/r/raway.e
f ./conect1/r/rnicks.e
f ./conect1/r/rversions.e
f ./conect1/r/rkicks.e
f ./conect1/r/rsignoff.e
f ./conect1/r/rtsay.e
f ./conect1/r/rpickup.e
f ./conect1/r/rsay.e
f ./conect1/r/rinsult.e
d ./conect2
f ./conect2/m.pid
f ./conect2/autorun
f ./conect2/m.lev
f ./conect2/run
f ./conect2/alongi.seen
f ./conect2/.192.168.1.98.user.swp
f ./conect2/vhosts
f ./conect2/bash
f ./conect2/m.set
f ./conect2/LinkEvents
f ./conect2/xey.seen
f ./conect2/cron.d
f ./conect2/start
f ./conect2/m.ses
f ./conect2/inst
f ./conect2/update
f ./conect2/192.168.1.98.user
f ./conect2/192.168.1.98.user2
f ./conect2/mech.dir
d ./conect2/r
f ./conect2/r/raway.e
f ./conect2/r/rnicks.e
f ./conect2/r/rversions.e
f ./conect2/r/rkicks.e
f ./conect2/r/rsignoff.e
f ./conect2/r/rtsay.e
f ./conect2/r/rpickup.e
f ./conect2/r/rsay.e
f ./conect2/r/rinsult.e
d ./conect3
f ./conect3/autorun
f ./conect3/run
f ./conect3/bash
f ./conect3/LinkEvents
f ./conect3/start
f ./conect3/inst
d ./conect3/r
f ./conect3/r/raway.e
f ./conect3/r/rnicks.e
f ./conect3/r/rversions.e
f ./conect3/r/rkicks.e
f ./conect3/r/rsignoff.e
f ./conect3/r/rtsay.e
f ./conect3/r/rpickup.e
f ./conect3/r/rsay.e
f ./conect3/r/rinsult.e

Read the rest of this entry »

Tags: , ,

June 29th, 2010

实验室服务器被黑记(上)

  早晨上班一到实验室,weekface告诉我说实验室的那台服务器貌似出问题了。他之前写过一个crontab脚本来每天执行一次备份任务,结果今天上去一查,已经不执行好久了,然后查crontab -l,他的那句任务竟然消失不见了,取而代之的指向了一个莫名其妙的脚本。

  我立刻上去看,因为从没遇到这种情况,首先想到的会不会是实验室有同学上来动过,于是问了一下,房间里知道root密码的一共就四个同学,依次询问都说没有动。一边问着,一边看那个脚本的内容,立刻懵了,里面是一些很难阅读的shell命令,这才意识到不妙,出事了。然后查当前在线用户,结果who命令竟然返回的是空!接着last,我靠last也被替换了。赶紧去拔了网线,已经很明显了,我们服务器被黑了。

  接下来一步一步去查找蛛丝马迹。who、last命令已经直接被替换了,root用户的.bash_history已经被我们这几天的新操作给覆盖掉,/var/log/secure也被清空,很干净嘛。然后看crontab修改记录,时间是Jun 27 17:27:21,这时上个周日,这个时间我们都没人上来动过服务器,所以判断这个时间就是被黑的时间。原来已经这么久了我们都没发现,真汗。。。然后查看是否有什么损失,服务器上在跑的服务有http、mysql、svn、ftp这几个,这几个服务都没有被添加账号,其实就我们做东西的这水平,真没什么值得别人费尽周折来偷窥甚至偷窃的。即便如此,还是心有余悸。

  那个神秘的脚本是窥视所有破坏的关键,比较长,改天再分析。跟weekface反思,本来这台服务器跑的centos版本很低了,应该有很多漏洞,并且我们的防范意识一直不强,root密码仅仅是一个10位的纯英文,很容易就被暴力破解了,而且shell的roo密码还跟mysql的root密码是一样的,再而且吧,当时我为了能够回宿舍后,ssh远程回实验室继续干活(唉,一言难尽哇),还把这台服务器的22端口从路由器上映射了出去……这不是自己找着被人黑么……

Tags: , ,

June 7th, 2010

[MOD]屏蔽Sprint Hero黑屏时MENU键的解锁功能

本MOD功能:

  1. 原先手机黑屏后,不小心按下MENU键也会触发屏幕解锁。刷了这个补丁后则不会触发。这样手机放在兜里再也不用担心不小心碰到MENU键了。
  2. 除了修改MENU键屏幕解锁外,本补丁不影响原rom的其他任何功能。

适用机型:

  Sprint HTC HERO200

适用rom:

  基于Sprint官方1.5 / 2.1 RUU制作的所有rom(不适用于基于eris制作的rom)

安装方法:

  1. 下载附件,更名为update.zip复制到sd卡上
  2. 重启手机,按住小房子+挂机键进入Recovery模式,保险起见建议做个Nand Backup备份
  3. 不需要Wipe,直接刷这个update.zip

下载地址:

  keylayout.zip

PS. 感谢阿土伯、老梁为本补丁做的测试。刷机有风险,本人不对刷机失败负责。

Tags: , ,

December 18th, 2009

5KB搞定wp-cumulus中文3D Tag问题

  wp-cumulus是我很久之前就推荐的一款3D Tag显示插件。效果非常cool。不过由于Flash本身的问题,3D标签云中不能显示中文。解决方案无非1.嵌入中文字体,不过这样导致swf文件的体积异常庞大;2.只在swf中嵌入常用的已有的标签文字,这样的话有新的Tag时也显示不出来。

  借鉴yujj同学和awflasher师兄的启示,通过修改wp-cumulus的源代码实现了对中文3D标签的支持,效果见右侧。

  yujj同学后来做了一个付费版本的中文3D Tag,不过这似乎不太符合wp-cumulus所声明的GPL协议。反正我把它破了,并且做了优化和小小的修改。现在无限制免费下载版本在这里http://www.lostleon.com/blog/wp-content/plugins/wp-cumulus/tagcloud.swf,只需要覆盖掉原来的swf文件即可。这个swf文件只有4.79kb,太完美了。

Tags: , , ,