歡迎光臨
每天分享高質量文章

記一次Linux服務器被入侵後的檢測過程

作者:哈茲本德

來源:FreeBuf

0×00 前言

故事是這樣的,大年初一,客戶反應他們服務器無法訪問,查看路由,發現某oracle+tomcat服務器UDP流量超大,把帶寬占完了,過年嘛,客戶那邊先找了當地的技術人員弄了幾天沒搞定,然後沒辦法大年初三的找我們弄…顧客是上帝!


其實吧以前也遇到過這類攻擊,當時某IDC都被打癱了,只不過馬兒不在我們的設備上,所以沒過多關註…


0×01 查找木馬

首先SSH登陸,top查看行程,發現奇怪名字的命令gejfhzthbp,一看就感覺有問題。

lsof c gejfhzthbp


查看關聯檔案,發現對外的tcp連接,不知道是不是反向shell…

執行命令 

Whereis  gejfhzthbp       
ls  -al  gejfhzthbp

查看檔案路徑。並查看檔案創建時間,與入侵時間吻合。

順便把檔案拷貝下來放到kali虛擬機試了下威力,幾秒鐘的結果如下…


之前還以為是外國人搞的,這應該能證明是國人搞的了…


0×02 恢復業務 

首先kill行程,結果肯定沒那麼簡單,行程換個名字又出來了


中間嘗試過很多過程,ps –ef |grep  發現父行程每次不一樣,關聯行程有時是sshd,有時是pwdls,中間裝了個VNC連接,然後關閉ssh服務,同樣無效,而且kill幾次之後發現父行程變成了1 ,水平有限,生產服務器,還是保守治療,以業務為主吧… 


既然被人入侵了,首先還是把防火牆的SSH映射關掉吧,畢竟服務器現在還要用,還是寫幾條iptables規則吧

iptables -A OUTPUT -o lo -j ACCEPT

允許本機訪問本機

iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT

允許主動訪問本服務器的請求

iptables -A OUTPUT p tcp 192.168.1.235 -jACCEPT

允許服務器主動訪問的IP白名單

iptables -A DROP

拒絕對外訪問

到此,業務恢復正常。


0×03 查找原因

其實原因一開始我就意識到了是SSH的問題,只是先要幫人把業務恢復了再說,web端口方面就只有tomcat的,web漏洞都查過了,什麼struts2manager頁面,還有一些常規web漏洞均不會存在,除非有0day….  Oracle也不外連,只有個SSH

基於這一點,我直接root賬戶ssh登陸日誌,翻啊翻,終於….

cd /var/log     less secure


如上圖,使用印尼IP爆破成功,而後面服務器內網IP登陸竟然是失敗,問了客戶,算是明白了怎麼回事,他們年底加設備,給服務器臨時改了弱密碼方便各種第三方技術人員除錯,然後估計忘了改回來,結果悲劇了,被壞人登陸了不說,root密碼還被改,自己都登不上…不知道他們老闆知不知道…

繼續查看history檔案,看人家都幹了些什麼。


壞人的操作過程基本就在這裡了,他執行了好多腳本,誰知道他幹了多少事,還是建議客戶重裝系統吧…

0×04 後記

主要還是自己經驗尚淺,linux運維玩的不熟,不知道怎麼把馬兒徹底趕出去…大牛勿噴。

《Linux雲計算及運維架構師高薪實戰班》2018年11月26日即將開課中,120天衝擊Linux運維年薪30萬,改變速約~~~~

    *宣告:推送內容及圖片來源於網絡,部分內容會有所改動,版權歸原作者所有,如來源信息有誤或侵犯權益,請聯繫我們刪除或授權事宜。

    – END –


    赞(0)

    分享創造快樂