记一次Linux被入侵的经历

Linux入侵经历 被入侵的一次经历 今天给大家说说一次被入侵的经历,仅供大家参考。

事件起因

2017年9月7日下午测试带宽,登录到服务器。在/tmp目录下发现可疑执行文件SPR。然后,检查是否有该进程启动。果然有该进程,基本可以判断该系统已经被入侵了。

根据操作记录发现,入侵者从某个IP地址(江苏镇江电信)下载了可疑程序SPR。修改了其为可执行。然后把该程序放到了/root目录及/tmp目录。该程序产生的文件放到了/tmp目录下。

处理过程

杀掉可疑进程及文件

把SPR进程给杀掉后,又在/root及/tmp目录下把SPR程序个删除了。过后进行检查是否操作成功,发现系统又自动启动了SPR进程及生成SPR程序。这时判断,应该还有其他可疑的进程在作祟。

这时,检查有无可疑的定时任务,发现没有。那么,再仔细检查有无可疑的进程,发现一个名为/usr/bin/.sshd的进程。杀掉该进程后,这时系统不会自动产生可疑文件了。

检查系统文件是否被替换

使用如下命令来检测系统文件是否被替换:

[root@server log]# rpm -Va
Unsatisfied dependencies for ghostscript-fonts-5.50-23.1.el6.noarch:
    xorg-x11-font-utils is needed by ghostscript-fonts-5.50-23.1.el6.noarch
.......T.    /lib/firmware/iwlwifi-5150-2.ucode
missing   d /lib/firmware/LICENSE.usb8388
.......T.    /lib/firmware/ql2200_fw.bin
....L....    /opt/dell/srvadmin/sbin/invcol
S.?......    /usr/lib64/libxmlrpc_client.so.3.16
.M.......    /lib64
.M.......    /sbin
.M.......    /sys
.M.......    /usr/lib64
.M.......    /usr/sbin
S.5....T.  c /etc/hosts.deny
S.5....T.  c /etc/profile
S.5....T.  c /etc/rc.d/rc.local
S.5....T.  c /etc/sysctl.conf
SM5....T.  c /etc/snmp/snmpd.conf
S.5....T.  c /etc/sfcb/sfcb.cfg
.......T.    /lib/firmware/iwlwifi-6000-4.ucode
....L....  c /etc/pam.d/fingerprint-auth
....L....  c /etc/pam.d/password-auth
....L....  c /etc/pam.d/smartcard-auth
....L....  c /etc/pam.d/system-auth
S.5....T.  c /etc/security/limits.conf
S.5....T.  c /etc/security/limits.d/90-nproc.conf
missing   c /etc/my.cnf
.......T.  c /etc/maven/maven2-depmap.xml
missing     /opt/MegaRAID/MegaCli/MegaCli
.....U...    /opt/MegaRAID/MegaCli/MegaCli64
.....U...    /opt/MegaRAID/MegaCli/libstorelibir-2.so.14.07-0
S.5....T.  c /etc/ssh/sshd_config
S.?......    /usr/lib64/libsnappy.so.1.1.4

对于上述输出中标记的含义介绍如下:

  • S 表示文件长度发生了变化
  • M 表示文件的访问权限或文件类型发生了变化
  • 5 表示MD5校验和发生了变化
  • D 表示设备节点的属性发生了变化
  • L 表示文件的符号链接发生了变化
  • U 表示文件/子目录/设备节点的owner发生了变化
  • G 表示文件/子目录/设备节点的group发生了变化
  • T 表示文件最后一次的修改时间发生了变化

如果在输出结果中有“M”标记出现,那么对应的文件可能已经遭到篡改或替换,此时可以通过卸载这个RPM包重新安装来清除受攻击的文件。

检查有无其他可疑进程

使用ps命令进行查看有无可疑的其他进程。还有一个问题就是,系统的ps命令如果被替换了,我们有可能就查看不出可疑进程了。

检查有无可疑的定时任务

定时任务一般不会做什么手脚。最有可能的是修改了系统的启动脚本。

事后总结

本次系统被入侵,主要是由于系统密码过于简单所致。密码简单到。。。,哎,你懂得。

设置复杂的密码,使用工具生成随机的密码,且密码长度大于20位。

原文发布于微信公众号 - 小白的技术客栈(XBDJSKZ)

原文发表时间:2017-09-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏雪胖纸的玩蛇日常

django 发送手机验证码

2393
来自专栏Seebug漏洞平台

Hacking Aria2 RPC Daemon

Author:ricterz ABSTRACT 在未设置任何安全措施的情况下,Aria2 RPC Server 可以接受任何未知来源的请求指令,并予以下载。即使...

4185
来自专栏北京马哥教育

万字长文为你深入解读 Linux 用户及用户组管理

运维行业正在变革,推荐阅读:30万年薪Linux运维工程师成长魔法 无论是出于 Linux 本身的多用户多任务分时操作系统的性质,还是出于系统安全的考虑, L...

3355

如何使用GPG密钥进行SSH身份验证

GPGTools为OS X提供了最简单的GPG实现。否则,js brew install gnupg2如果你有Homebrew,你可以运行。

882
来自专栏安恒信息

【漏洞公告】Tomcat信息泄漏和远程代码执行漏洞【高危】

2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,该漏洞...

2767
来自专栏行者悟空

Nginx启用https访问

1802
来自专栏FreeBuf

CVE-2018-2628补丁绕过分析与修复建议

Oracle官方在北京时间2018年4月18日凌晨发布了关键补丁更新,其中包含了OracleWebLogic Server的一个高危反序列化漏洞(CVE-201...

994
来自专栏FreeBuf

Umap2 | 开源USB host安全评估工具

Umap2是一款由NCC Group和Cisco SAS小组开发的、基于python的USB host安全评估工具。 它拥有第一版所支持的所有功能: umap2...

1795
来自专栏FreeBuf

GoAgent漏洞可能导致中间人攻击

作者 virusdefender 原文 http://seclists.org/fulldisclosure/2014/Jun/9。对少数句子词语和标点进行了...

1745
来自专栏散尽浮华

Nginx中防盗链(下载防盗链和图片防盗链)及图片访问地址操作记录

日常运维工作中,设置防盗链的需求会经常碰到,这也是优化网站的一个必要措施。今天在此介绍Nginx中设置下载防盗链和图片防盗链的操作~ 一、Nginx中下载防盗链...

2779

扫描关注云+社区