记一次Linux被入侵的经历

Linux入侵经历 被入侵的一次经历 今天给大家说说一次被入侵的经历,仅供大家参考。

事件起因

2017年9月7日下午测试带宽,登录到服务器。在/tmp目录下发现可疑执行文件SPR。然后,检查是否有该进程启动。果然有该进程,基本可以判断该系统已经被入侵了。

根据操作记录发现,入侵者从某个IP地址(江苏镇江电信)下载了可疑程序SPR。修改了其为可执行。然后把该程序放到了/root目录及/tmp目录。该程序产生的文件放到了/tmp目录下。

处理过程

杀掉可疑进程及文件

把SPR进程给杀掉后,又在/root及/tmp目录下把SPR程序个删除了。过后进行检查是否操作成功,发现系统又自动启动了SPR进程及生成SPR程序。这时判断,应该还有其他可疑的进程在作祟。

这时,检查有无可疑的定时任务,发现没有。那么,再仔细检查有无可疑的进程,发现一个名为/usr/bin/.sshd的进程。杀掉该进程后,这时系统不会自动产生可疑文件了。

检查系统文件是否被替换

使用如下命令来检测系统文件是否被替换:

[root@server log]# rpm -Va
Unsatisfied dependencies for ghostscript-fonts-5.50-23.1.el6.noarch:
    xorg-x11-font-utils is needed by ghostscript-fonts-5.50-23.1.el6.noarch
.......T.    /lib/firmware/iwlwifi-5150-2.ucode
missing   d /lib/firmware/LICENSE.usb8388
.......T.    /lib/firmware/ql2200_fw.bin
....L....    /opt/dell/srvadmin/sbin/invcol
S.?......    /usr/lib64/libxmlrpc_client.so.3.16
.M.......    /lib64
.M.......    /sbin
.M.......    /sys
.M.......    /usr/lib64
.M.......    /usr/sbin
S.5....T.  c /etc/hosts.deny
S.5....T.  c /etc/profile
S.5....T.  c /etc/rc.d/rc.local
S.5....T.  c /etc/sysctl.conf
SM5....T.  c /etc/snmp/snmpd.conf
S.5....T.  c /etc/sfcb/sfcb.cfg
.......T.    /lib/firmware/iwlwifi-6000-4.ucode
....L....  c /etc/pam.d/fingerprint-auth
....L....  c /etc/pam.d/password-auth
....L....  c /etc/pam.d/smartcard-auth
....L....  c /etc/pam.d/system-auth
S.5....T.  c /etc/security/limits.conf
S.5....T.  c /etc/security/limits.d/90-nproc.conf
missing   c /etc/my.cnf
.......T.  c /etc/maven/maven2-depmap.xml
missing     /opt/MegaRAID/MegaCli/MegaCli
.....U...    /opt/MegaRAID/MegaCli/MegaCli64
.....U...    /opt/MegaRAID/MegaCli/libstorelibir-2.so.14.07-0
S.5....T.  c /etc/ssh/sshd_config
S.?......    /usr/lib64/libsnappy.so.1.1.4

对于上述输出中标记的含义介绍如下:

  • S 表示文件长度发生了变化
  • M 表示文件的访问权限或文件类型发生了变化
  • 5 表示MD5校验和发生了变化
  • D 表示设备节点的属性发生了变化
  • L 表示文件的符号链接发生了变化
  • U 表示文件/子目录/设备节点的owner发生了变化
  • G 表示文件/子目录/设备节点的group发生了变化
  • T 表示文件最后一次的修改时间发生了变化

如果在输出结果中有“M”标记出现,那么对应的文件可能已经遭到篡改或替换,此时可以通过卸载这个RPM包重新安装来清除受攻击的文件。

检查有无其他可疑进程

使用ps命令进行查看有无可疑的其他进程。还有一个问题就是,系统的ps命令如果被替换了,我们有可能就查看不出可疑进程了。

检查有无可疑的定时任务

定时任务一般不会做什么手脚。最有可能的是修改了系统的启动脚本。

事后总结

本次系统被入侵,主要是由于系统密码过于简单所致。密码简单到。。。,哎,你懂得。

设置复杂的密码,使用工具生成随机的密码,且密码长度大于20位。

原文发布于微信公众号 - 小白的技术客栈(XBDJSKZ)

原文发表时间:2017-09-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

真实网站劫持案例分析

1. 概述 上段时间一直忙于处理大会安全保障与应急,借助公司云悉情报平台,发现并处置几十起网站被劫持的情况。对黑客SEO技术颇有感觉。正好这段时间有时间,把以前...

4115
来自专栏FreeBuf

混在运维部的安全员说“端口与口令安全”

? 1. 前言 先简单自我介绍一下,其实,我是一个安全工程师。现就职于某互联网金融企业负责公司整体网络安全。 刚到公司时首先是了解一些企业规则和规则制定者,当...

4323
来自专栏北京马哥教育

一次Linux服务器被入侵和删除木马程序的经历

? 作者 | 小小水滴 来源 | 51CTO博客 ? 糖豆贴心提醒,本文阅读时间6分钟,文末有秘密! 一、背景 晚上看到有台服务器流量跑的很高...

49110
来自专栏Seebug漏洞平台

Gnuboard 漏洞分析

Gnuboard是韩国Sir公司开发一套PHP+Mysql CMS程序。 本身数据结构简单,可扩展性能强,程序运行代码与皮肤文件分离,可扩展数据字段多,可以进行...

3806
来自专栏从流域到海域

Apache libcloud中对CloudStack的支持

原文地址:https://dzone.com/articles/cloudstack-support-apache

2286
来自专栏三丰SanFeng

浅谈DNS

什么叫域名解析 域名解析是把域名指向网站空间IP,让人们通过注册的域名可以方便地访问到网站一种服务。IP地址是网络上标识站点的数字地址,为了方便记忆,采用域名来...

3357
来自专栏编程

(4)Superset权限使用场景

如前文所述,Superset初始化权限之后,创建5个角色,分别为Admin,Alpha,Gamma,sql_lab以及Public。Admin,Alpha和Ga...

1.2K10
来自专栏西枫里博客

联通宽带FTTH,华为hg8347r改桥接模式

家里宽带升级成50M光纤到户。换了一个光猫,导致我内网DMZ主机无法远程连接了。联通安装工程师安装好后,提供的是一个限制权限的user账户。除了能关闭wifi信...

1993
来自专栏idealclover的填坑日常

Ubuntu 18.04/16.04系统安装网易云音乐无法启动或安装解决方案

由于netease-cloud-music_1.1.0_amd64_ubuntu.deb打包可能有问题,在Ubuntu 16.04/18.04版本中虽然可以安装...

2573
来自专栏晨星先生的自留地

提权(1)信息收集

2774

扫码关注云+社区