000 前言
故事是這樣的,大年初一,客戶反應他們伺服器無法訪問,檢視路由,發現某 oracle+tomcat 伺服器 udp 流量超大,把頻寬佔完了,過年嘛,客戶那邊先找了當地的技術人員弄了幾天沒搞定,然後沒辦法大年初三的找我們弄…顧客是上帝!
其實吧以前也遇到過這類攻擊,當時某idc都被打癱了,只不過馬兒不在我們的裝置上,所以沒過多關注…
001 查詢木馬
首先ssh登陸,top檢視程序,發現奇怪名字的命令gejfhzthbp,一看就感覺有問題。
lsof –c gejfhzthbp檢視關聯檔案,發現對外的 tcp 連線,不知道是不是反向 shell…
執行命令
whereis gejfhzthbp ls -al gejfhzthbp檢視檔案路徑。並檢視檔案建立時間,與入侵時間吻合。
順便把檔案拷貝下來放到kali虛擬機器試了下威力,幾秒鐘的結果如下…
之前還以為是外國人搞的,這應該能證明是國人搞的了…
002 恢復業務
首先kill程序,結果肯定沒那麼簡單,程序換個名字又出來了
中間嘗試過很多過程, ps –ef |grep 發現父程序每次不一樣,關聯程序有時是 sshd ,有時是 pwd , ls ,中間裝了個 vnc連線 ,然後關閉 ssh 服務,同樣無效,而且 kill 幾次之後發現父程序變成了 1 ,水平有限,生產伺服器,還是保守**,以業務為主吧…
既然被人入侵了,首先還是把防火牆的ssh對映關掉吧,畢竟伺服器現在還要用,還是寫幾條iptables規則吧
iptables -a output -o lo -j accept允許本機訪問本機
iptables -a output -m state --state established -j accept允許主動訪問本伺服器的請求
iptables -a output –p tcp –d 192.168.1.235 -jaccept允許伺服器主動訪問的ip白名單
iptables -a drop拒絕對外訪問
到此,業務恢復正常。
003 查詢原因
其實原因一開始我就意識到了是 ssh 的問題,只是先要幫人把業務恢復了再說, web 埠方面就只有 tomcat 的, web 漏洞都查過了,什麼 struts2 , manager 頁面,還有一些常規 web 漏洞均不會存在,除非有 0day…. oracle 也不外連,只有個 ssh
基於這一點,我直接 查 root 賬戶 ssh 登陸日誌,翻啊翻,終於….
如上圖,使用印尼ip爆破成功,而後面伺服器內網 ip 登陸竟然是失敗,問了客戶,算是明白了怎麼回事,他們年底加裝置,給伺服器臨時改了弱密碼方便各種第三方技術人員除錯,然後估計忘了改回來,結果悲劇了,被壞人登陸了不說,root密碼還被改,自己都登不上…不知道他們老闆知不知道…
繼續 檢視 history 檔案,看人家都幹了些什麼。
壞人的操作過程基本就在這裡了,他執行了好多指令碼,誰知道他幹了多少事,還是建議客戶重灌系統吧…
記一次linux伺服器入侵應急響應
近日接到客戶求助,他們收到託管電信機房的資訊,通知檢測到他們的一台伺服器有對外傳送攻擊流量的行為。希望我們能協助排查問題。情況緊急,首先要確認安全事件的真實性。經過和伺服器運維人員溝通,了解到業務只在內網應用,但伺服器竟然放開到公網了,能在公網直接ping通,且開放了22遠端埠。從這點基本可以確認伺...
記一次公司linux伺服器被挖礦
centos7.6 有些問題不是我遇到的 也一併記錄 伺服器執行緩慢,cpu飆公升,top一下,懷疑是挖礦程式.這個病毒還不是算很 很多挖礦病毒,使用top命令都看不到挖礦程式的程序。執行命令ps aux sort pcpu head 10 基本確定就是這兩程序了 kill 9 pid 基本沒用,肯...
記一次伺服器被攻擊經歷
從接手公司伺服器兩個半星期經常性的無法正常ssh登陸,十次裡面有九次半都是顯示 ssh exchange identification read connection reset by peer 也谷歌很多種原因和解決方案,無非是分兩種 一是執行緒滿了,需要更改配置檔案把max session 調大...