一、前言
簡單top一下,乙個明顯的不能再明顯的程序引起了我的注意。
先kill再說,然後我就直接find / -name *obamal*,找到檔案路徑rm了。就在我以為已經解決的時候,睡了個回籠覺回來,這個程序又出現啦!!!看來還挺狡猾哈,雖然linux用了不短時間,但網路安全還真是第一次搞,所以就有了這篇博文記錄下我與小壞蛋們的攻防。
二、實錄
2、然後last命令看看登陸記錄,沒有明顯的問題
3、lastb看看被拒絕的記錄,觸目驚心啊,這些狗比無時不刻都在搞咱的伺服器啊!
4、刪除檔案還能跑出來肯定是有個什麼自動執行的定時或者開機啟動的任務在作怪,所以crontab看看有沒有定時任務,結果是沒有。
5、那也有可能是開機自啟動的服務,systemctl查下看看。這麼多排查也困難,先放著一會再來。
6、突然想到,既然是幹了壞事,總得有個什麼檔案在伺服器上了,而且最近一天訪問過,所以還是用find,但是通過時間來過濾
記錄太多,晚點再看
7、也許是有某個啟動就執行的指令碼,那我檢查下有沒有檔案包含了obamal這個關鍵字。結果執行的很慢,還是想想別的辦法。。。
8、那麼精準的檢查下特定的檔案,這些檔案就是用來設定開機啟動的
找了好幾個檔案,發現都沒有obamal這個關鍵字
9、那麼是否有可能這個哥們還有個守護程序,也就是另乙個程序啟動了obamal
順著這個思路,我將obamal先殺掉,然後觀察看obamal再次啟動前誰最活躍,結果真的就被我找到了!
乙個叫vziqlt的程序冒了出來,然後順藤摸瓜,根據pid可以很輕易找到他的檔案路徑「ll /proc/pid」
最近一次修改時間也對上號了,就是8月6日凌晨4點多攻破我伺服器的!
找到罪魁禍首直接刪除!
三、亡羊補牢
幾經波折終於找到小壞蛋,所幸沒有丟失什麼重要東西,但亡羊補牢很重要,主要這太影響我大師的形象了,有啥安全措施都安排上!
1、加強密碼的複雜度
第一時間諮詢安全大佬後,表示你把密碼改複雜點就完了,如果破解密碼需要100年也就沒人能破解了。安排了。
2、同一ip限制密碼嘗試次數
參考:原理是寫乙個指令碼,每隔1分鐘讀取/var/log/secure檔案中記錄的訪問失敗的ip,如果密碼錯誤超過10次就把這個ip封了。
需要注意這裡是累計量,所以你自己密碼錯誤次數多了也會被封掉,這點要注意。
3、禁止root使用者遠端登陸
因為大家都用root使用者,所以直接禁止這個使用者遠端登入也就從根源解決了暴力破解的問題,那麼你可以建立乙個複雜使用者名稱和密碼的普通使用者,以後用這個普通使用者先登陸然後再跳轉到root使用者即可。這樣直接為壞人增加了無數倍的破解難度,想到這裡我就理解了為啥有些linux系統預設就不給你root使用者,安裝時就需要你自定義乙個使用者名稱。
參考:四、回顧
通過這次事件我發現網路安全真的很重要,這次還好只是疑似裝了個挖礦的軟體,如果是勒索病毒就麻煩了。暫時就只是提公升了使用者登陸這塊的安全,後面還得考慮下對外業務的安全如何搞。
記錄一次繞過檔案防多開的思路
此文章僅記錄當時思路,不具備通用性。且本人所學甚淺,必有諸多不足,如若有誤或更好的思路,希望能不吝指教。目標程式有防多開限制,需求繞過防多開。通過行為監控 分析,發現目標程式有可疑檔案 某特殊檔案字尾 的建立和鎖檔案 lockfile 的操作。進一步分析,發現與鎖檔案的操作無關。關注並分析建立的可疑...
記錄一次網路故障排錯
一 說下咋回事 網路裝置新入網,各種調研,沒錯就是調研,他們怎麼說的 我 不管,我還要在來一遍確認以及其他資訊補充。你問我為什麼,大哥們,這個你以後遇到就知道了,有時候搞事情,資訊錯誤,甚至資訊不全,除非像我一樣 做事周全,算無遺漏,聰明機智 然而老司機也會翻車,這不接下來立馬翻車了麼。事情還要從某...
記錄一次面試
怎麼觀察系統中 記憶體 行為 a.通過 proc zoneinfo 檔案,可以看到 free high low min pages 關係 free high 時候 一般不開啟 kswapd 執行緒 high free low 時,開啟 kswapd 執行緒 low free min時,alloc p...