记一次Linux被入侵的经历

Linux入侵经历 被入侵的一次经历 今天给大家说说一次被入侵的经历,仅供大家参考。

事件起因

2017年9月7日下午测试带宽,登录到服务器。在/tmp目录下发现可疑执行文件SPR。然后,检查是否有该进程启动。果然有该进程,基本可以判断该系统已经被入侵了。

根据操作记录发现,入侵者从某个IP地址(江苏镇江电信)下载了可疑程序SPR。修改了其为可执行。然后把该程序放到了/root目录及/tmp目录。该程序产生的文件放到了/tmp目录下。

处理过程

杀掉可疑进程及文件

把SPR进程给杀掉后,又在/root及/tmp目录下把SPR程序个删除了。过后进行检查是否操作成功,发现系统又自动启动了SPR进程及生成SPR程序。这时判断,应该还有其他可疑的进程在作祟。

这时,检查有无可疑的定时任务,发现没有。那么,再仔细检查有无可疑的进程,发现一个名为/usr/bin/.sshd的进程。杀掉该进程后,这时系统不会自动产生可疑文件了。

检查系统文件是否被替换

使用如下命令来检测系统文件是否被替换:

[root@server log]# rpm -Va
Unsatisfied dependencies for ghostscript-fonts-5.50-23.1.el6.noarch:
    xorg-x11-font-utils is needed by ghostscript-fonts-5.50-23.1.el6.noarch
.......T.    /lib/firmware/iwlwifi-5150-2.ucode
missing   d /lib/firmware/LICENSE.usb8388
.......T.    /lib/firmware/ql2200_fw.bin
....L....    /opt/dell/srvadmin/sbin/invcol
S.?......    /usr/lib64/libxmlrpc_client.so.3.16
.M.......    /lib64
.M.......    /sbin
.M.......    /sys
.M.......    /usr/lib64
.M.......    /usr/sbin
S.5....T.  c /etc/hosts.deny
S.5....T.  c /etc/profile
S.5....T.  c /etc/rc.d/rc.local
S.5....T.  c /etc/sysctl.conf
SM5....T.  c /etc/snmp/snmpd.conf
S.5....T.  c /etc/sfcb/sfcb.cfg
.......T.    /lib/firmware/iwlwifi-6000-4.ucode
....L....  c /etc/pam.d/fingerprint-auth
....L....  c /etc/pam.d/password-auth
....L....  c /etc/pam.d/smartcard-auth
....L....  c /etc/pam.d/system-auth
S.5....T.  c /etc/security/limits.conf
S.5....T.  c /etc/security/limits.d/90-nproc.conf
missing   c /etc/my.cnf
.......T.  c /etc/maven/maven2-depmap.xml
missing     /opt/MegaRAID/MegaCli/MegaCli
.....U...    /opt/MegaRAID/MegaCli/MegaCli64
.....U...    /opt/MegaRAID/MegaCli/libstorelibir-2.so.14.07-0
S.5....T.  c /etc/ssh/sshd_config
S.?......    /usr/lib64/libsnappy.so.1.1.4

对于上述输出中标记的含义介绍如下:

  • S 表示文件长度发生了变化
  • M 表示文件的访问权限或文件类型发生了变化
  • 5 表示MD5校验和发生了变化
  • D 表示设备节点的属性发生了变化
  • L 表示文件的符号链接发生了变化
  • U 表示文件/子目录/设备节点的owner发生了变化
  • G 表示文件/子目录/设备节点的group发生了变化
  • T 表示文件最后一次的修改时间发生了变化

如果在输出结果中有“M”标记出现,那么对应的文件可能已经遭到篡改或替换,此时可以通过卸载这个RPM包重新安装来清除受攻击的文件。

检查有无其他可疑进程

使用ps命令进行查看有无可疑的其他进程。还有一个问题就是,系统的ps命令如果被替换了,我们有可能就查看不出可疑进程了。

检查有无可疑的定时任务

定时任务一般不会做什么手脚。最有可能的是修改了系统的启动脚本。

事后总结

本次系统被入侵,主要是由于系统密码过于简单所致。密码简单到。。。,哎,你懂得。

设置复杂的密码,使用工具生成随机的密码,且密码长度大于20位。

原文发布于微信公众号 - 小白的技术客栈(XBDJSKZ)

原文发表时间:2017-09-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏听雨堂

如何清除应用程序承载 WebBrowser 控件时缓存

http://support.microsoft.com/kb/262110/zh-cn 察看本文应用于的产品 注意:这篇文章是由无人工介入的自动的机器翻译系统...

1797
来自专栏搞前端的李蚊子

Html5模拟通讯录人员排序(sen.js)

// JavaScript Document  var PY_Json_Str = ""; var PY_Str_1 = ""; var PY_Str_...

4986
来自专栏智能计算时代

IBM Expands Data Discovery and Q&A Power of Watson Analytics

IBM Expands Data Discovery and Q&A Power of Watson Analytics Half a Million Prof...

2696
来自专栏遊俠扎彪

删除Windows右键新建文件类型

Win+R 运行regedit,效果如下:

2129
来自专栏猿人谷

Reverse Linked List II

Reverse a linked list from position m to n. Do it in-place and in one-pass. For...

1677
来自专栏专注数据中心高性能网络技术研发

[Repost]A Survival Guide to a PhD

This guide is patterned after my “Doing well in your courses”, a post I wrote a ...

2585
来自专栏Golang语言社区

Knapsack problem algorithms for my real-life carry-on knapsack

I'm a nomad and live out of one carry-on bag. This means that the total weight o...

982
来自专栏CreateAMind

InfoGAN、GAN训练不稳定因素分析

Many people have recommended me the infoGAN paper, but I hadn't taken the time t...

964
来自专栏我是业余自学C/C++的

线性表——数组描述(Qt5.1测试代码 for windows)

992
来自专栏智能计算时代

IBM Research: WatsonPaths

A new cognitive computing project that enables more natural interaction between ...

2967

扫码关注云+社区