静态链接的程序挂掉，但动态链接的程序还可以运行

[Charlie Brown]

实验室有个机器坏了，他们怀疑是被黑了，因为ip访问有从埃及来用git登录的。可以认为0防护，而且密码超简单。

那个机器，动态链接的程序都可以执行，静态链接的全挂了（我试了df, grep。通过ldd确认是静态链接的）（他图形界面都能起来，动态链接的应该都没问题）。

当然，也有可能是有选择性地毁坏了一些binary。不过bash可以起（是动态链接的），我觉得要黑应该把bash也挂掉吧。
----------------------------比如readelf -a
grep------------------------------------
readelf: Error: Section headers are not available!
-------------------------------------------------------------------------------------------

有人见过类似的事情吗？

Sincerely,
王文鑫
Wenxin Wang
Department of Electronic Engineering,
Tsinghua University,
Beijing 100084, P. R. China
(+86)18811369901
Email：wang...@mails.tsinghua.edu.cn

[Wang Shanker]

奇怪，你用别的内核引导一下，看看还有没有问题

> --
>
> ---
> You received this message because you are subscribed to the Google Groups "TUNA 主邮件列表" group.
> To unsubscribe from this group and stop receiving emails from it, send an email to tuna-general...@googlegroups.com.
> To post to this group, send email to tuna-g...@googlegroups.com.
> For more options, visit https://groups.google.com/d/optout.

[Yutian Li | 李雨田]

你把那些静态链接的拷到其他机器上试试。。虚拟机。。

Best regards,

Yutian LI | 李雨田

Mobile: +86 186-1011-2787

E-mail: hotp...@gmail.com

Department of Computer Science and Technology

Tsinghua University

[Charlie Brown]

他们好像不太敢关机，在比照代码（因为连不上ssh，vmware控制台好像连复制都不支持）。东西不多，等他们看完，让他们试试。

[Wang Shanker]

你的意思是说，出问题的是虚拟机？

> 在 2015年7月28日，下午5:18，Charlie Brown <stiei...@gmail.com> 写道：
>
> 他们好像不太敢关机，在比照代码（因为连不上ssh，vmware控制台好像连复制都不支持）。东西不多，等他们看完，让他们试试。
>

[Christopher Meng]

On Tue, Jul 28, 2015 at 4:05 PM, Charlie Brown <stiei...@gmail.com> wrote:
> 实验室有个机器坏了，他们怀疑是被黑了，因为ip访问有从埃及来用git登录的。可以认为0防护，而且密码超简单。

你说的 git 登录是什么意思？

> 那个机器，动态链接的程序都可以执行，静态链接的全挂了（我试了df, grep。通过ldd确认是静态链接的）（他图形界面都能起来，动态链接的应该都没问题）。
> 当然，也有可能是有选择性地毁坏了一些binary。不过bash可以起（是动态链接的），我觉得要黑应该把bash也挂掉吧。

bash 当然不会挂掉的 ( ͡° ͜ʖ ͡°)

> ----------------------------比如readelf -a
> grep------------------------------------
> readelf: Error: Section headers are not available!
> -------------------------------------------------------------------------------------------
>
> 有人见过类似的事情吗？

入口点被破坏了...

你们如果能把系统 dump 出来留给我日后研究也可以（虚拟机？真机？）...分析最好从网络连接入手，不过可能 netstat 或者 ss
也坏了（今年的好几个 APT 都是这么干的）...

--

Yours sincerely,
Christopher Meng

http://cicku.me

[Ray Song]

方便的话找几个静态链接的程序供下载吧

>--
>
>---
>You received this message because you are subscribed to the Google Groups "TUNA 主邮件列表" group.
>To unsubscribe from this group and stop receiving emails from it, send an email to tuna-general...@googlegroups.com.
>To post to this group, send email to tuna-g...@googlegroups.com.
>For more options, visit https://groups.google.com/d/optout.

--
宋方睿 (SONG Fangrui)
Website: http://maskray.me

[Xin Yue]

恢复的话，如果cp、dd不能用，就用u盘引导起来，把代码拷出来，然后直接重装机器就最快捷了，自己解静态补静态反而花时间和精力。

下次长个记性就好

--

"Across the Great Wall we can reach every corner in the world"

在 2015年7月28日 下午8:06，Christopher Meng <i...@cicku.me>写道：

On Tue, Jul 28, 2015 at 4:05 PM, Charlie Brown <stiei...@gmail.com> wrote:
> 实验室有个机器坏了，他们怀疑是被黑了，因为ip访问有从埃及来用git登录的。可以认为0防护，而且密码超简单。

你说的 git 登录是什么意思？

同求

 

> 那个机器，动态链接的程序都可以执行，静态链接的全挂了（我试了df, grep。通过ldd确认是静态链接的）（他图形界面都能起来，动态链接的应该都没问题）。
> 当然，也有可能是有选择性地毁坏了一些binary。不过bash可以起（是动态链接的），我觉得要黑应该把bash也挂掉吧。

bash 当然不会挂掉的  ( ͡° ͜ʖ ͡°)

> ----------------------------比如readelf -a
> grep------------------------------------
> readelf: Error: Section headers are not available!
> -------------------------------------------------------------------------------------------
>
> 有人见过类似的事情吗？

入口点被破坏了...

你们如果能把系统 dump 出来留给我日后研究也可以（虚拟机？真机？）...分析最好从网络连接入手，不过可能 netstat 或者 ss
也坏了（今年的好几个 APT 都是这么干的）...

--

Yours sincerely,
Christopher Meng

http://cicku.me

[Charlie Brown]

他们开了个gitlab，所以有git账户。那个埃及ip（和另一个某异域风情ip）是用这个账户登入的。

Sincerely,
王文鑫
Wenxin Wang
Department of Electronic Engineering,
Tsinghua University,
Beijing 100084, P. R. China
(+86)18811369901
Email：wang...@mails.tsinghua.edu.cn

> --
>
> ---
> You received this message because you are subscribed to a topic in the Google Groups "TUNA 主邮件列表" group.
> To unsubscribe from this topic, visit https://groups.google.com/d/topic/tuna-general/yKjOQIr0HXA/unsubscribe.
> To unsubscribe from this group and all its topics, send an email to tuna-general...@googlegroups.com.

[Xin Yue]

不过看症状，我觉得你们得先确定一下是不是有人`rm -rf *`或者`rm -rf .`

--

"Across the Great Wall we can reach every corner in the world"

[Charlie Brown]

是的。
他们说现在开机只能进single模式，所以没有网。

Sincerely,
王文鑫
Wenxin Wang
Department of Electronic Engineering,
Tsinghua University,
Beijing 100084, P. R. China
(+86)18811369901
Email：wang...@mails.tsinghua.edu.cn

> You received this message because you are subscribed to a topic in the Google Groups "TUNA 主邮件列表" group.
> To unsubscribe from this topic, visit https://groups.google.com/d/topic/tuna-general/yKjOQIr0HXA/unsubscribe.
> To unsubscribe from this group and all its topics, send an email to tuna-general...@googlegroups.com.

[Charlie Brown]

日志……现在不知道怎么弄出来呢他们。
single模式貌似网卡不能开，vmware的控制台，不知道是他们不会用还是怎样，连屏幕上复制都做不到……

Sincerely,
王文鑫
Wenxin Wang
Department of Electronic Engineering,
Tsinghua University,
Beijing 100084, P. R. China
(+86)18811369901
Email：wang...@mails.tsinghua.edu.cn

2015-07-28 20:06 GMT+08:00 Christopher Meng <i...@cicku.me>:

[惠轶群]

简单啊。。直接找个livecd启动就可以了。。

You received this message because you are subscribed to the Google Groups "TUNA 主邮件列表" group.
To unsubscribe from this group and stop receiving emails from it, send an email to tuna-general...@googlegroups.com.

[Charlie Brown]

恩，有道理，我不知道vmware可以这样呢。
我觉得他们是找个理由放弃吧，反正他们马上也不用那个机器，两天就准备删了回（女朋友）家了……所以……呀……祝他们幸福啊

Sincerely,
王文鑫
Wenxin Wang
Department of Electronic Engineering,
Tsinghua University,
Beijing 100084, P. R. China
(+86)18811369901
Email：wang...@mails.tsinghua.edu.cn

[惠轶群]

- - 什么虚拟机不可以。。。

[李浩]

怀疑是rootkit，以前ssh密码太弱中过招，把我的grep, ls, top, md5sum, pstree, netstat, ps 这些查看系统状态的bin都替换了