欢乐颂第一季免费阅读,穿越小说完本

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

【博文推薦】生產(chǎn)環(huán)境-linux-網(wǎng)站被掛木馬攻防經(jīng)歷

本博文出自博客vekergu博主，有任何問(wèn)題請(qǐng)進(jìn)入博主頁(yè)面互動(dòng)討論!

博文地址：http://vekergu.blog./9966832/1619266

一、出現(xiàn)異常，排查原因

發(fā)現(xiàn)異常是通過(guò)遠(yuǎn)端監(jiān)控腳本發(fā)現(xiàn)訪問(wèn)網(wǎng)站時(shí)斷時(shí)續(xù)，使用ssh工具連接會(huì)經(jīng)常斷掉連接，無(wú)法開(kāi)展工作。

使用其他服務(wù)器對(duì)另一個(gè)網(wǎng)卡ip進(jìn)行ssh連接，可以登錄服務(wù)器，初步懷疑網(wǎng)卡異?；蛘吡髁慨惓！?/p>

分別使用ifstat、iftop、nethogs查看連接異常網(wǎng)卡流量信息(對(duì)幾個(gè)流量分析工具進(jìn)行對(duì)比，各有千秋)：

1、使用ifstat

wget http://distfiles.macports.org/ifstat/ifstat-1.1.tar.gz

cd ifstat-1.1 ./configuremake make install 都是老套路

ifstat -a 加入監(jiān)控lo

2、使用iftop監(jiān)控那個(gè)端口流量

p 可以顯示連接端口

3、使用nethogs監(jiān)控每個(gè)進(jìn)程流量

yum換rpel源

wgethttp://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm

yum install nethogs

nethogs eth0

效果展示ifstat：

可以看到服務(wù)器流量異常時(shí)，流量的變化情況。

效果展示iftop：

可以看到哪個(gè)PID進(jìn)程導(dǎo)致流量過(guò)高

效果展示nethogs：

#p#

二、查找真兇

通過(guò)上面分析，造成網(wǎng)站打不開(kāi)的原因就是有進(jìn)程大量發(fā)送數(shù)據(jù)包到某個(gè)ip(其實(shí)是阿里的服務(wù)器)的80端口，導(dǎo)致服務(wù)器網(wǎng)絡(luò)阻塞，但是通過(guò)以上的工具，發(fā)現(xiàn)此木馬相當(dāng)?shù)慕苹?，無(wú)法發(fā)使用的那個(gè)進(jìn)程。

在使用netstat、ss通過(guò)端口獲取木馬進(jìn)程失敗后(后面才知道netstat、ps等命令已經(jīng)被木馬感染)

可以使用top工具，此木馬在大量發(fā)包時(shí)肯定會(huì)造成資源的消耗

通過(guò)鎖定發(fā)現(xiàn)了兩個(gè)進(jìn)程有大量的嫌疑：

通過(guò)ps命令找到進(jìn)程執(zhí)行的目錄：

 
 
  
  /usr/bin/sshupdate-bootsystem-insserv
  
  /tmp/GuiBger

通過(guò)持續(xù)觀察發(fā)現(xiàn)時(shí)有agent進(jìn)程一閃而逝，在使用find / -name agent 后

 
 
  
  # ll /usr/bin/bsd-port/
  
  總用量 1120
  
  -rwxr-xr-x. 1 root root 1135000 12月 25 11:20agent
  
  -rwxr-xr-x. 1 root root       4 12月 25 11:20 agent.conf
  
  -rw-r--r--. 1 root root      69 12月 25 11:50 conf.n
  
  -rw-r--r--. 1 root root       0 10月  9 19:36 getty

此時(shí)，相關(guān)的可以進(jìn)程都找到了，通過(guò)測(cè)試，在網(wǎng)絡(luò)阻塞時(shí)，刪除sshupdate-bootsystem-insserv、GuiBger兩個(gè)進(jìn)程后，網(wǎng)絡(luò)流量立即正常。而agent則懷疑是與黑客的通信進(jìn)程，用于接收命令(瞎猜的)或者監(jiān)控上面連個(gè)進(jìn)程。

#p#

三、解決真兇

找到這3個(gè)進(jìn)程并不意味結(jié)束，因?yàn)樗麄兒芸梢允情_(kāi)機(jī)自啟動(dòng)程序，所以要在找到他們的開(kāi)機(jī)自起的配置文件，我通過(guò)一個(gè)腳本實(shí)現(xiàn)這個(gè)功能：

 
 
  
  #!/bin/sh
  
  echo > /tmp/find_init.log
  
  function ergodic(){
  
           forfile in `ls $1`
  
           do
  
                     if[ -d $1"/"$file ] #如果 file存在且是一個(gè)目錄則為真
  
                              then
  
                              ergodic$1"/"$file
  
                     else
  
                              localpath=$1"/"$file #得到文件的完整的目錄
  
                              localname=$file       #得到文件的名字
  
                              #做自己的工作.
  
                              echo  $path 
  
                              rootkit_init=`cat$path | grep sshupdate | head -n 1`
  
                              if[ -z $rootkit_init ];then
  
                              echo  "sed -i 's#$rootkit_init##g' $path">>  /tmp/find_init.log
  
                              fi
  
                     fi
  
    
  
           done
  
  }
  
  INIT_PATH="/etc/init.d"
  
  ergodic $INIT_PATH
  
  cat /tmp/find_init.log

這個(gè)腳本功能很簡(jiǎn)單，通過(guò)遍歷/etc/init.d目錄所有文件，使用grep搜索進(jìn)程名關(guān)鍵詞，將含有這幾個(gè)進(jìn)程的文件找出來(lái)。

結(jié)果如下：

 
 
  
  sed -i's#/usr/bin/sshupdate-bootsystem-insserv##g' /etc/init.d/DbSecurityMdt
  
  sed -i's#/usr/bin/sshupdate-bootsystem-insserv##g' /etc/init.d/insserv

還真有自啟動(dòng)配置，迅速刪除之

在刪除這個(gè)木馬命令時(shí)會(huì)遇到無(wú)法刪除的問(wèn)題，這個(gè)很簡(jiǎn)單：

 
 
  
  lsattr /usr/bin/sshupdate-bootsystem-insserv
  
  查看文件的隱藏權(quán)限
  
  -------i------e- sshupdate-bootsystem-insserv
  
  發(fā)現(xiàn)被限制刪除操作了
  
  chattr -i  /usr/bin/sshupdate-bootsystem-insserv
  
  取消影藏權(quán)限，然后再刪除，完成。

通過(guò)查看數(shù)據(jù)的表結(jié)構(gòu)，發(fā)現(xiàn)木馬是從數(shù)據(jù)庫(kù)滲透進(jìn)服務(wù)器的，因?yàn)闆](méi)有上線，方便開(kāi)發(fā)測(cè)試在密碼強(qiáng)度上使用了弱密碼，所以被黑客破解了mysql的root賬戶密碼，在mysql注入了木馬，一步一步滲透到服務(wù)器。數(shù)據(jù)庫(kù)方面處理就不詳細(xì)介紹了：

檢查生產(chǎn)庫(kù)的表結(jié)構(gòu)，刪除多余表。
然后備份所有生產(chǎn)庫(kù)。
停止mysql
刪除datadir目錄所有文件
重啟mysql
導(dǎo)入此前備份數(shù)據(jù)庫(kù)

#p#

四、徹底掃除尾巴與隱患

通過(guò)上面的步驟已經(jīng)能解決服務(wù)器被黑客作為攻擊工具的問(wèn)題了，但是系統(tǒng)是否還有木馬隱藏，是否安全還需要加個(gè)問(wèn)號(hào)。

作者要介紹的方法是，使用linux系統(tǒng)的殺毒軟件，作者使用的是avg，還是蠻好用的，被木馬感染的netstat、ps等命令和影藏文件就是通過(guò)avg掃描出來(lái)的。

簡(jiǎn)單介紹下avg的安裝和使用

avg殺毒軟件{

下載地址:http://free.avg.com/us-en/download-free-all-product

啟動(dòng) service avgd start

更新：avgupdate

掃描：avgscan 加“要掃描的目錄地址” 比如說(shuō)sudo avgscan /etc

復(fù)制代碼

-a 掃描內(nèi)部檔案

-l 自動(dòng)愈合受感染的對(duì)象

-t 自動(dòng)刪除受感染的對(duì)象

-u 自動(dòng)移動(dòng)感染對(duì)象到隔離

作者掃描時(shí):avgscan /

avg會(huì)列出可以文件：找出刪除即可，如果無(wú)法刪除，上文有提過(guò)，先查看隱藏權(quán)限

五、總結(jié)

最后總結(jié)下，之所以被黑客在linux服務(wù)器上掛馬，是因?yàn)榉奖汩_(kāi)發(fā)上線產(chǎn)品，關(guān)閉了iptables，數(shù)據(jù)庫(kù)使用了弱密碼，這個(gè)教訓(xùn)很深刻，所以使用iptables限制服務(wù)器的端口非常有必要，如果可能最好selinux開(kāi)啟。當(dāng)然定時(shí)更換各賬戶密碼也很重要!同時(shí)加強(qiáng)linux安全防護(hù)一定做到事前，在被黑客入侵后處理會(huì)更麻煩，知道系統(tǒng)安全加強(qiáng)到一定程度，黑客很難入侵系統(tǒng)。

因本人對(duì)安全方面涉及不深，此篇文章只是記實(shí)闡述我的處理經(jīng)過(guò)，很多地方經(jīng)驗(yàn)欠缺，如有大神，不吝賜教

虛心學(xué)習(xí)才能進(jìn)步，知識(shí)共享共同進(jìn)步

本文標(biāo)題：【博文推薦】生產(chǎn)環(huán)境-linux-網(wǎng)站被掛木馬攻防經(jīng)歷
文章地址：http://fisionsoft.com.cn/article/cdidjhd.html

新聞中心

其他資訊