实验室服务器被黑记(下)

  本来这篇文章写的差不多了,后来一直忙,存成草稿没有发,直到最近才想起这回事来。简单分析了一下被植入的脚本,才学疏浅,有误的地方请同学们多指教。

  让我们先来看一下植入脚本的文件结构

root@delleon:~/tmp# find . -printf '%y %p\n'
d .
d ./conect1
f ./conect1/autorun
f ./conect1/run
f ./conect1/bash
f ./conect1/LinkEvents
f ./conect1/start
f ./conect1/inst
d ./conect1/r
f ./conect1/r/raway.e
f ./conect1/r/rnicks.e
f ./conect1/r/rversions.e
f ./conect1/r/rkicks.e
f ./conect1/r/rsignoff.e
f ./conect1/r/rtsay.e
f ./conect1/r/rpickup.e
f ./conect1/r/rsay.e
f ./conect1/r/rinsult.e
d ./conect2
f ./conect2/m.pid
f ./conect2/autorun
f ./conect2/m.lev
f ./conect2/run
f ./conect2/alongi.seen
f ./conect2/.192.168.1.98.user.swp
f ./conect2/vhosts
f ./conect2/bash
f ./conect2/m.set
f ./conect2/LinkEvents
f ./conect2/xey.seen
f ./conect2/cron.d
f ./conect2/start
f ./conect2/m.ses
f ./conect2/inst
f ./conect2/update
f ./conect2/192.168.1.98.user
f ./conect2/192.168.1.98.user2
f ./conect2/mech.dir
d ./conect2/r
f ./conect2/r/raway.e
f ./conect2/r/rnicks.e
f ./conect2/r/rversions.e
f ./conect2/r/rkicks.e
f ./conect2/r/rsignoff.e
f ./conect2/r/rtsay.e
f ./conect2/r/rpickup.e
f ./conect2/r/rsay.e
f ./conect2/r/rinsult.e
d ./conect3
f ./conect3/autorun
f ./conect3/run
f ./conect3/bash
f ./conect3/LinkEvents
f ./conect3/start
f ./conect3/inst
d ./conect3/r
f ./conect3/r/raway.e
f ./conect3/r/rnicks.e
f ./conect3/r/rversions.e
f ./conect3/r/rkicks.e
f ./conect3/r/rsignoff.e
f ./conect3/r/rtsay.e
f ./conect3/r/rpickup.e
f ./conect3/r/rsay.e
f ./conect3/r/rinsult.e

实验室服务器被黑记(上)

  早晨上班一到实验室,weekface告诉我说实验室的那台服务器貌似出问题了。他之前写过一个crontab脚本来每天执行一次备份任务,结果今天上去一查,已经不执行好久了,然后查crontab -l,他的那句任务竟然消失不见了,取而代之的指向了一个莫名其妙的脚本。

  我立刻上去看,因为从没遇到这种情况,首先想到的会不会是实验室有同学上来动过,于是问了一下,房间里知道root密码的一共就四个同学,依次询问都说没有动。一边问着,一边看那个脚本的内容,立刻懵了,里面是一些很难阅读的shell命令,这才意识到不妙,出事了。然后查当前在线用户,结果who命令竟然返回的是空!接着last,我靠last也被替换了。赶紧去拔了网线,已经很明显了,我们服务器被黑了。

  接下来一步一步去查找蛛丝马迹。who、last命令已经直接被替换了,root用户的.bash_history已经被我们这几天的新操作给覆盖掉,/var/log/secure也被清空,很干净嘛。然后看crontab修改记录,时间是Jun ...... 

[MOD]屏蔽Sprint Hero黑屏时MENU键的解锁功能

本MOD功能:

  1. 原先手机黑屏后,不小心按下MENU键也会触发屏幕解锁。刷了这个补丁后则不会触发。这样手机放在兜里再也不用担心不小心碰到MENU键了。
  2. 除了修改MENU键屏幕解锁外,本补丁不影响原rom的其他任何功能。

适用机型:

  Sprint HTC HERO200

适用rom:

  基于Sprint官方1.5 / 2.1 RUU制作的所有rom(不适用于基于eris制作的rom)

安装方法:

  1. 下载附件,更名为update.zip复制到sd卡上
  2. 重启手机,按住小房子+挂机键进入Recovery模式,保险起见建议做个Nand Backup备份
  3. 不需要Wipe,直接刷这个update.zip

下载地址:

  keylayout.zip

PS. 感谢阿土伯、老梁为本补丁做的测试。刷机有风险,本人不对刷机失败负责。

5KB搞定wp-cumulus中文3D Tag问题

  wp-cumulus是我很久之前就推荐的一款3D Tag显示插件。效果非常cool。不过由于Flash本身的问题,3D标签云中不能显示中文。解决方案无非1.嵌入中文字体,不过这样导致swf文件的体积异常庞大;2.只在swf中嵌入常用的已有的标签文字,这样的话有新的Tag时也显示不出来。

  借鉴yujj同学和awflasher师兄的启示,通过修改wp-cumulus的源代码实现了对中文3D标签的支持,效果见右侧。

  yujj同学后来做了一个付费版本的中文3D Tag,不过这似乎不太符合wp-cumulus所声明的GPL协议。反正我把它破了,并且做了优化和小小的修改。现在无限制免费下载版本在这里https://lostleon.com/blog/wp-content/plugins/wp-cumulus/tagcloud.swf,只需要覆盖掉原来的swf文件即可。这个swf文件只有4.79kb,太完美了。