前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP最新优惠活动
返回腾讯云官网
社区首页 >专栏 >记一次Linux被入侵的经历

记一次Linux被入侵的经历

作者头像
1846122963
发布2018-03-09 16:36:38
1.5K0
发布2018-03-09 16:36:38
举报
文章被收录于专栏:小白的技术客栈小白的技术客栈

Linux入侵经历 被入侵的一次经历 今天给大家说说一次被入侵的经历,仅供大家参考。

事件起因

2017年9月7日下午测试带宽,登录到服务器。在/tmp目录下发现可疑执行文件SPR。然后,检查是否有该进程启动。果然有该进程,基本可以判断该系统已经被入侵了。

根据操作记录发现,入侵者从某个IP地址(江苏镇江电信)下载了可疑程序SPR。修改了其为可执行。然后把该程序放到了/root目录及/tmp目录。该程序产生的文件放到了/tmp目录下。

处理过程

杀掉可疑进程及文件

把SPR进程给杀掉后,又在/root及/tmp目录下把SPR程序个删除了。过后进行检查是否操作成功,发现系统又自动启动了SPR进程及生成SPR程序。这时判断,应该还有其他可疑的进程在作祟。

这时,检查有无可疑的定时任务,发现没有。那么,再仔细检查有无可疑的进程,发现一个名为/usr/bin/.sshd的进程。杀掉该进程后,这时系统不会自动产生可疑文件了。

检查系统文件是否被替换

使用如下命令来检测系统文件是否被替换:

代码语言:javascript
复制
[root@server log]# rpm -Va
Unsatisfied dependencies for ghostscript-fonts-5.50-23.1.el6.noarch:
    xorg-x11-font-utils is needed by ghostscript-fonts-5.50-23.1.el6.noarch
.......T.    /lib/firmware/iwlwifi-5150-2.ucode
missing   d /lib/firmware/LICENSE.usb8388
.......T.    /lib/firmware/ql2200_fw.bin
....L....    /opt/dell/srvadmin/sbin/invcol
S.?......    /usr/lib64/libxmlrpc_client.so.3.16
.M.......    /lib64
.M.......    /sbin
.M.......    /sys
.M.......    /usr/lib64
.M.......    /usr/sbin
S.5....T.  c /etc/hosts.deny
S.5....T.  c /etc/profile
S.5....T.  c /etc/rc.d/rc.local
S.5....T.  c /etc/sysctl.conf
SM5....T.  c /etc/snmp/snmpd.conf
S.5....T.  c /etc/sfcb/sfcb.cfg
.......T.    /lib/firmware/iwlwifi-6000-4.ucode
....L....  c /etc/pam.d/fingerprint-auth
....L....  c /etc/pam.d/password-auth
....L....  c /etc/pam.d/smartcard-auth
....L....  c /etc/pam.d/system-auth
S.5....T.  c /etc/security/limits.conf
S.5....T.  c /etc/security/limits.d/90-nproc.conf
missing   c /etc/my.cnf
.......T.  c /etc/maven/maven2-depmap.xml
missing     /opt/MegaRAID/MegaCli/MegaCli
.....U...    /opt/MegaRAID/MegaCli/MegaCli64
.....U...    /opt/MegaRAID/MegaCli/libstorelibir-2.so.14.07-0
S.5....T.  c /etc/ssh/sshd_config
S.?......    /usr/lib64/libsnappy.so.1.1.4

对于上述输出中标记的含义介绍如下:

  • S 表示文件长度发生了变化
  • M 表示文件的访问权限或文件类型发生了变化
  • 5 表示MD5校验和发生了变化
  • D 表示设备节点的属性发生了变化
  • L 表示文件的符号链接发生了变化
  • U 表示文件/子目录/设备节点的owner发生了变化
  • G 表示文件/子目录/设备节点的group发生了变化
  • T 表示文件最后一次的修改时间发生了变化

如果在输出结果中有“M”标记出现,那么对应的文件可能已经遭到篡改或替换,此时可以通过卸载这个RPM包重新安装来清除受攻击的文件。

检查有无其他可疑进程

使用ps命令进行查看有无可疑的其他进程。还有一个问题就是,系统的ps命令如果被替换了,我们有可能就查看不出可疑进程了。

检查有无可疑的定时任务

定时任务一般不会做什么手脚。最有可能的是修改了系统的启动脚本。

事后总结

本次系统被入侵,主要是由于系统密码过于简单所致。密码简单到。。。,哎,你懂得。

设置复杂的密码,使用工具生成随机的密码,且密码长度大于20位。

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2017-09-07,如有侵权请联系 cloudcommunity@tencent.com 删除
linux
安全
网络安全

本文分享自 小白的技术客栈 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

linux
安全
网络安全
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
LV.
文章
0
获赞
0
目录
  • 事件起因
  • 处理过程
    • 杀掉可疑进程及文件
      • 检查系统文件是否被替换
        • 检查有无其他可疑进程
          • 检查有无可疑的定时任务
          • 事后总结
          领券

          腾讯云开发者

          扫码关注腾讯云开发者

          扫码关注腾讯云开发者

          领取腾讯云代金券

          热门产品

          热门推荐

          更多推荐

          Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

          深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

          腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

          问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

          Copyright © 2013 - 2024 Tencent Cloud.

          All Rights Reserved. 腾讯云 版权所有

          登录 后参与评论