记一次Linux被入侵的经历

Linux入侵经历 被入侵的一次经历 今天给大家说说一次被入侵的经历,仅供大家参考。

事件起因

2017年9月7日下午测试带宽,登录到服务器。在/tmp目录下发现可疑执行文件SPR。然后,检查是否有该进程启动。果然有该进程,基本可以判断该系统已经被入侵了。

根据操作记录发现,入侵者从某个IP地址(江苏镇江电信)下载了可疑程序SPR。修改了其为可执行。然后把该程序放到了/root目录及/tmp目录。该程序产生的文件放到了/tmp目录下。

处理过程

杀掉可疑进程及文件

把SPR进程给杀掉后,又在/root及/tmp目录下把SPR程序个删除了。过后进行检查是否操作成功,发现系统又自动启动了SPR进程及生成SPR程序。这时判断,应该还有其他可疑的进程在作祟。

这时,检查有无可疑的定时任务,发现没有。那么,再仔细检查有无可疑的进程,发现一个名为/usr/bin/.sshd的进程。杀掉该进程后,这时系统不会自动产生可疑文件了。

检查系统文件是否被替换

使用如下命令来检测系统文件是否被替换:

[root@server log]# rpm -Va
Unsatisfied dependencies for ghostscript-fonts-5.50-23.1.el6.noarch:
    xorg-x11-font-utils is needed by ghostscript-fonts-5.50-23.1.el6.noarch
.......T.    /lib/firmware/iwlwifi-5150-2.ucode
missing   d /lib/firmware/LICENSE.usb8388
.......T.    /lib/firmware/ql2200_fw.bin
....L....    /opt/dell/srvadmin/sbin/invcol
S.?......    /usr/lib64/libxmlrpc_client.so.3.16
.M.......    /lib64
.M.......    /sbin
.M.......    /sys
.M.......    /usr/lib64
.M.......    /usr/sbin
S.5....T.  c /etc/hosts.deny
S.5....T.  c /etc/profile
S.5....T.  c /etc/rc.d/rc.local
S.5....T.  c /etc/sysctl.conf
SM5....T.  c /etc/snmp/snmpd.conf
S.5....T.  c /etc/sfcb/sfcb.cfg
.......T.    /lib/firmware/iwlwifi-6000-4.ucode
....L....  c /etc/pam.d/fingerprint-auth
....L....  c /etc/pam.d/password-auth
....L....  c /etc/pam.d/smartcard-auth
....L....  c /etc/pam.d/system-auth
S.5....T.  c /etc/security/limits.conf
S.5....T.  c /etc/security/limits.d/90-nproc.conf
missing   c /etc/my.cnf
.......T.  c /etc/maven/maven2-depmap.xml
missing     /opt/MegaRAID/MegaCli/MegaCli
.....U...    /opt/MegaRAID/MegaCli/MegaCli64
.....U...    /opt/MegaRAID/MegaCli/libstorelibir-2.so.14.07-0
S.5....T.  c /etc/ssh/sshd_config
S.?......    /usr/lib64/libsnappy.so.1.1.4

对于上述输出中标记的含义介绍如下:

  • S 表示文件长度发生了变化
  • M 表示文件的访问权限或文件类型发生了变化
  • 5 表示MD5校验和发生了变化
  • D 表示设备节点的属性发生了变化
  • L 表示文件的符号链接发生了变化
  • U 表示文件/子目录/设备节点的owner发生了变化
  • G 表示文件/子目录/设备节点的group发生了变化
  • T 表示文件最后一次的修改时间发生了变化

如果在输出结果中有“M”标记出现,那么对应的文件可能已经遭到篡改或替换,此时可以通过卸载这个RPM包重新安装来清除受攻击的文件。

检查有无其他可疑进程

使用ps命令进行查看有无可疑的其他进程。还有一个问题就是,系统的ps命令如果被替换了,我们有可能就查看不出可疑进程了。

检查有无可疑的定时任务

定时任务一般不会做什么手脚。最有可能的是修改了系统的启动脚本。

事后总结

本次系统被入侵,主要是由于系统密码过于简单所致。密码简单到。。。,哎,你懂得。

设置复杂的密码,使用工具生成随机的密码,且密码长度大于20位。

原文发布于微信公众号 - 小白的技术客栈(XBDJSKZ)

原文发表时间:2017-09-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏开源FPGA

继续死磕SDRAM控制器

1272
来自专栏小白的技术客栈

系统入侵后的排查思路及心得

入侵后的总结 入侵后的总结 昨天发布Linux被入侵及其如何检查,今天这一篇主要是一些排查思路,仅供大家参考。 ? 写在前面 首先,确保系统密码符合密码复杂...

3676
来自专栏从流域到海域

Apache libcloud中对CloudStack的支持

原文地址:https://dzone.com/articles/cloudstack-support-apache

2406
来自专栏FreeBuf

混在运维部的安全员说“端口与口令安全”

? 1. 前言 先简单自我介绍一下,其实,我是一个安全工程师。现就职于某互联网金融企业负责公司整体网络安全。 刚到公司时首先是了解一些企业规则和规则制定者,当...

5133
来自专栏张戈的专栏

SEO分享:让百度删除不想收录的域名或快照的最快方法

个别网站可能会出现以下类似困扰: ①、百度收录了自己不想收录的域名,造成内容重复,比如张戈博客,百度近一半的收录是 www 的域名,而且收录的内容还是重复的!实...

7827
来自专栏FreeBuf

漏洞预警|Samba远程代码执行漏洞,影响7年前版本

Samba是Linux和UNIX系统的SMB协议服务软件,可以实现与其他操作系统(如:微软Windows操作系统)进行文件系统、打印机和其他资源的共享。此次漏洞...

2197
来自专栏晨星先生的自留地

提权(1)信息收集

3104
来自专栏黑泽君的专栏

win10 64位JLink v8固件丢失修复总结

大早晨的调着调着程序,视线没离开一会,就发现jlink自动断开连接了,然后重新拔插jlink、重启都不行,才发现小灯已经不亮了,原来是固件损坏了,果断想办法修复...

1311
来自专栏黑白安全

[局域网劫持]如何搞懵蹭网的同学

设置DNS 输入命令行:leafpad /etc/ettercap/etter.dns

912
来自专栏三丰SanFeng

浅谈DNS

什么叫域名解析 域名解析是把域名指向网站空间IP,让人们通过注册的域名可以方便地访问到网站一种服务。IP地址是网络上标识站点的数字地址,为了方便记忆,采用域名来...

4327

扫码关注云+社区