nuctroy

-A INPUT -p icmp -m limit --limit 1/s --limit-burst 3 -j ACCEPT

我想知道這句的意義，是否會(huì)引起網(wǎng)絡(luò)請(qǐng)求延遲呢？……求指導(dǎo)！

nuctroy

我發(fā)現(xiàn)文中提到的兩個(gè)可疑文件：/bin/ps 與 /bin/netstat
大小都是 1,135,000byte
于是我查找這個(gè)大小的全部文件：

find / -size 1135000c

得到如下結(jié)果

/bin/netstat
/bin/ps
/www/wdlinux/wdcp/sys/802
/www/wdlinux/wdcp/sys/802.1
/usr/bin/lixww
/usr/bin/bsd-port/getty


希望對(duì)官方能有所幫助，并指導(dǎo)一下我們?nèi)绾翁幚怼��?/td>

nuctroy

在 /tmp 目錄下發(fā)現(xiàn)兩個(gè)可疑文件：gates.lock 與 moni.lock
大小都為 4byte
于是我查找以lock結(jié)尾并且只有4byte大小的文件：

find /  -name '*.lock' -size 4c

得到如下結(jié)果

/tmp/gates.lock
/tmp/moni.lock
/usr/bin/bsd-port/getty.lock

三個(gè)文件我全部刪除了……希望有用………

nuctroy

在 /usr/bin/bsd-port/ 目錄還發(fā)現(xiàn)可疑文件：conf.n
大小為69byte
于是查找這個(gè)文件名一樣的文件：

find /  -name 'conf.n'

得到如下結(jié)果

/www/wdlinux/wdcp/sys/conf.n
/usr/bin/bsd-port/conf.n

兩個(gè)文件我都刪除了……希望我做的沒有問題……

nuctroy

意外地在 /usr/bin/ 目錄發(fā)現(xiàn)可疑新目錄 /usr/bin/dpkgd
該目錄下有兩個(gè)文件： ps 與 netstat

對(duì)比修改時(shí)間發(fā)現(xiàn)該兩個(gè)文件與 /bin/ps 與 /bin/netstat 這兩個(gè)文件被修改的時(shí)間一致

深刻懷疑這是攻擊者做的備份所在，于是用這兩個(gè)備份文件替換了/bin下的對(duì)應(yīng)文件，ps與netstat又能正常使用了。

PS：使用WD官方提供的netstat文件會(huì)被系統(tǒng)提示：-bash: /bin/netstat: /lib/ld-linux.so.2: bad ELF interpreter: 沒有那個(gè)文件或目錄，說明文件還是有問題的，而且和備份的兩個(gè)文件的大小并不一樣！

看來，攻擊者還是挺有良心的，好像也沒有做任何大的動(dòng)作和破壞！

謝天謝地謝這個(gè)陌生人！