专栏首页FreeBuf一次对个人服务器入侵事件的调查

一次对个人服务器入侵事件的调查

这一切还要从我收到的通知邮件:“Your server is sending spam”说起。首先要说的是,这台服务器是用来运行之前项目的静态网站,并不保存关键信息。由于不经常使用,即使有Joomla和WordPress这样的高危程序,我都懒得忘记定期更新了。这可能就是导致被入侵的原因。

1 通知邮件

经过一夜的狂欢聚会后,我收到了服务器提供商OVH的通知邮件,邮件告知我的服务器成为了垃圾邮件发送源,其中还提及了一些细节:

KenaGard是我之前创建的公司,现在已经不运行了,但是基于Joomla的公司网站www.kenagard.com仍然可以访问,并且使用的还是老版本的Joomla!我想问题有可能就出在Joomla上。

Joomla的问题

我立即进入网站目录查看可疑情况:

最后两行是我之前执行过的合法操作,之后的操作就不得而知了,我想我的服务器已经变成瑞士奶酪了!

入侵行为可能发生于2016-02-25、2016-02-29、2016-08-21三个时间点的操作。

探究入侵操作

2016-08-21的入侵操作中包含了文件jtemplate.php

该PHP文件是经过加密的代码,经过UnPHP解密之后可以看到部分信息:

实际上,上述代码的功能如下:

Base64str_rot13为加密混淆函数,起到逃避安全软件和迷惑分析的作用。assert函数在这里,它被当成一个提权命令来使用,用来上传攻击载荷和其它黑客工具。PHP一句话木马!

探究入侵深度

在该网站设置中,只有www-data用户组才能执行php代码文件。而且,我发现很难通过apt方式来安装软件,所以想要更新系统也变成了一件几乎不可能的事了!现在,好像整个服务器已经不属于我的了!另外,我很难发现攻击者的提权操作痕迹,所以,只能通过日期和ps aux命令来查看系统异常。

另外,我还发现了第四条关于WordPress的异常操作,虽然不能确定攻击者意图,但是看上去仍属于入侵操作。而且网站系统内每个目录文件夹内都有类似文件:logo_img.php, images/mbaig/emkwg.php, dir32.php, .htaccess

其中某个文件不仅用来执行远程代码,还向远程地址4lmbkpqrklqv.net发送信息,经查询,域名4lmbkpqrklqv.net归属一位乌克兰人Nikolay Pohomov所有。

2 解决方法

啊,在那分钟,我真想砸了这台机器!升级Joomla,升级WordPress, 格式化,重装….,天哪,饶了我吧,我哪有这么多时间。所以我决定采取一些保守的安全解决对策。

停止向外发送垃圾邮件

ps aux命令显示了很多垃圾邮件发送进程,使用以下命令来终止:

ps aux|grep -v grep|grep sendmail|awk {print $2} | xargs kill -9

清空邮件发送队列

rm /var/spool/mqueue/*

禁止CMS系统POST数据提交

因为该系统网站已经停止更新了,所以禁止POST方式,能简单阻塞攻击者提交的数据。在nginx中简单进行以下配置:

最后,别忘记服务重启命令service nginx reload

清除攻击者后门

禁止POST方式不能完全堵塞攻击者通道,你必须清除攻击者在系统上留下的相关黑客工具和文件。

3 其它信息

通过日志分析,发现进行jtemplate.php操作的IP为乌克兰IP185.93.187.66,但是,貌似这个IP没有提交过POST数据。

另外,我还发现一个可能属于Amazon的可疑IP的操作:

因此,我决定把目录/administrator (Joomla!) 和/wp-admin (WordPress)用以下方式做限制访问。最后,别忘记重启命令service nginx reload

4 总结

由于我不是专业的安全人士,对于这些经常不更新的老旧系统,我能想到唯一防止黑客攻击的方法可能就是使用Docker了。

以下是网友对我这篇博客的一些评论:

你的服务器已经被入侵了,所以请别用家庭电脑远程连接来处理这类安全事件 在重装系统过程中使用默认配置 可以使用恶意程序检测工具Linux Malware Detects和脚本ctimer.php 在防火墙上开启仅系统所需的端口

*本文编译:clouds,编译来源:thedarkside,未经许可禁止转载

本文分享自微信公众号 - FreeBuf(freebuf),作者:clouds

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2016-09-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 安全启动存在严重漏洞,几乎影响所有的Linux和Windows设备

    今日,网络安全研究人员披露了一个新的高风险漏洞的详细信息。该漏洞影响了全球数十亿设备,几乎波及所有正在运行Linux发行版或Windows系统的服务器、工作站,...

    FB客服
  • 漏洞预警 | Windows系统恶意软件防护引擎曝严重远程代码执行漏洞(CVE-2017-0290)

    微软昨天发布了安全公告——微软自家的恶意程序防护引擎出现高危安全漏洞。影响到包括MSE、Windows Defender防火墙等在内的产品,危害性还是相当严重的...

    FB客服
  • 最新XSS 0day漏洞来袭,影响最新版本IE浏览器(含POC)

    安全研究人员近日发现了一个严重的XSS 0day漏洞,该漏洞可影响最新版本的IE浏览器,将用户暴露在被攻击和身份盗窃的危险之中。 漏洞信息 该漏洞能够影响完全修...

    FB客服
  • 【腾讯云的1001种玩法】从购买服务器到建站,从0打造自己的网络领地

    记得当年我萌生出要建立一个自己的网站的时候,在网络上搜索了很多教程,但是都不怎么能看懂,于是建站这个事情折腾了我很长的时间。在学习了很多知识之后,我终于能够熟练...

    Shawn_Kid
  • 7篇ICLR论文,遍览联邦学习最新研究进展

    2020 年的 ICLR 会议原计划于4 月 26 日至 4 月 30 日在埃塞俄比亚首都亚的斯亚贝巴举行,这本是首次在非洲举办的顶级人工智能国际会议,但受到疫...

    机器之心
  • 【华为“麒麟980”详细参数曝光】台积电7nm制程,搭载新一代NPU,性能暴涨!

    【新智元导读】华为预计将于月底举行的IFA上推出“麒麟980”芯片,以及搭载该芯片的新一代旗舰机Mate 20 Pro。“麒麟980”基于台积电7nm FinF...

    新智元
  • 002.SQLServer数据库镜像高可用简介

    数据库镜像维护一个数据库的两个副本,这两个副本必须驻留在不同的 SQL Server 数据库引擎服务器实例上。 通常,这些服务器实例驻留在不同位置的计算机上。 ...

    木二
  • All-In-One到SOA的分布式架构演进

    在诞生之初始,应用与数据库是部署在同一台机器上,这时的用户量、数据量规模都比较小,这样的架构既简单实用、便于维护,成本又低,成为了这个时代的主流架构方式。随着用...

    用户2141593
  • 分布式基础_All-In-One到SOA的分布式架构演进

    在诞生之初始,应用与数据库是部署在同一台机器上,这时的用户量、数据量规模都比较小,这样的架构既简单实用、便于维护,成本又低,成为了这个时代的主流架构方式。随着用...

    矿泉水
  • 速读原著-TCP/IP(高速缓存)

    为了减少I n t e r n e t上D N S的通信量,所有的名字服务器均使用高速缓存。在标准的 U n i x实现中,高速缓存是由名字服务器而不是由名字解...

    cwl_java

扫码关注云+社区

领取腾讯云代金券