事件起因很簡單,某**頁面被篡改。客戶要求也很簡單,刪除被篡改頁面。
可想而知如果能簡單刪除,也不會有此次應急。系統為linux,進入後檢視檔案許可權如下:
帶」+」號的檔案,這裡出現了第乙個linux檔案安全相關的知識點「linux檔案acl」。什麼是「acl」,可以簡單理解為給特定使用者或使用者組設定對於乙個檔案/資料夾的操作許可權,這個acl包含我們平時chmod設定ls -l檢視到linux檔案許可權。
使用getfacl可以檢視乙個被篡改檔案,發現加入了一條特殊許可權「user:root:—」,這表示root對該檔案沒有任何許可權。直接rm是無法刪除的,如下圖:
看到這裡,首先想到利用 setfacl -m u:root:rwx 將root許可權設定回去,使root使用者可刪除篡改檔案。但當setfacl -m執行後,提示沒有許可權修改。再次setfacl -b取消所有的acl,還是提示沒有許可權修改。現在使用者是root,什麼原因造成的沒有許可權?這裡就有第二個和linux檔案安全相關的知識「檔案隱藏屬 性」。
[root@localhost 05]
# lsattr 013989.shtml
—-i——– 013989.shtml
發現檔案都被標識了i屬性(禁止對檔案進行任何修改),這也是為什麼setfacl無法還原許可權的原因。用chattr -i命令去掉」i」屬性,沒有任何返回資訊,再次檢視發現「i」屬性仍未被去除。
這裡是第三個linux檔案安全的知識點「系統命令替換」,chattr沒有生效,懷疑該系統命令已經被入侵者替換掉。做了個實驗:使用 chattr +a給某乙個頁面檔案設定a屬性,可以正常設定,再使用chattr -a去掉屬性成功。在/tmp目錄新建1.txt檔案,使用chattr +ais為1.txt設定多個隱藏屬性,再用chattr -ais取消屬性發現只有i屬性無法撤銷,之前的推測被證實。
還原系統命令操作起來很複雜,qq遠端協助還要過堡壘機操作太麻煩。替換不了我們找替代方案,想到android測試常用到的系統命令工具包busybox,最後busybox chattr -i解決了該問題。
ps:如果該伺服器可以連網,使用
yum install e2fsprogs可重灌chattr命令。
【via@std兄弟連】
記一次linux伺服器入侵應急響應
近日接到客戶求助,他們收到託管電信機房的資訊,通知檢測到他們的一台伺服器有對外傳送攻擊流量的行為。希望我們能協助排查問題。情況緊急,首先要確認安全事件的真實性。經過和伺服器運維人員溝通,了解到業務只在內網應用,但伺服器竟然放開到公網了,能在公網直接ping通,且開放了22遠端埠。從這點基本可以確認伺...
記一次linux挖礦木馬應急
1.拿到了乙個靶機,top檢查,發現有乙個程序cpu利用率一直在百分之百,經過特徵對比,發現是挖礦木馬 2.利用 ll proc 埠id exe 定位木馬檔案所在位置 3.rm rf 刪除掉木馬檔案 4.原本以為搞定了,過了一會發現還是有利用率百分之百情況 5.檢視 cat var spool cr...
從一次起床遲了想到的
因為在外面作專案,想到雖然在工作上有單位的規定,但是古語云 將在外君命有所不授 這是受特定的條件決定的。我作為專案負責人,為了保證專案的順利進行,制定了乙個 工作規範 規定了在日常工作和生活中的一些要求,包括作息時間等。這個規範在整個專案小組中作了討論,得到了大家的一致認可,也就是說我不是將自己的意...