专栏首页北京马哥教育记一次Linux服务器被入侵后的检测过程

记一次Linux服务器被入侵后的检测过程

作者 | 哈兹本德 来源 | FreeBuf

豌豆贴心提醒,本文阅读时间5分钟,文末有秘密!

0×00 前言

故事是这样的,大年初一,客户反应他们服务器无法访问,查看路由,发现某oracle+tomcat服务器UDP流量超大,把带宽占完了,过年嘛,客户那边先找了当地的技术人员弄了几天没搞定,然后没办法大年初三的找我们弄…顾客是上帝!

其实吧以前也遇到过这类攻击,当时某IDC都被打瘫了,只不过马儿不在我们的设备上,所以没过多关注…

0×01 查找木马

首先SSH登陆,top查看进程,发现奇怪名字的命令gejfhzthbp,一看就感觉有问题。

lsof –c gejfhzthbp

查看关联文件,发现对外的tcp连接,不知道是不是反向shell…

执行命令

Whereis  gejfhzthbp       
ls  -al  gejfhzthbp

查看文件路径。并查看文件创建时间,与入侵时间吻合。

顺便把文件拷贝下来放到kali虚拟机试了下威力,几秒钟的结果如下…

之前还以为是外国人搞的,这应该能证明是国人搞的了…

0×02 恢复业务

首先kill进程,结果肯定没那么简单,进程换个名字又出来了

中间尝试过很多过程,ps –ef |grep 发现父进程每次不一样,关联进程有时是sshd,有时是pwd,ls,中间装了个VNC连接,然后关闭ssh服务,同样无效,而且kill几次之后发现父进程变成了1 ,水平有限,生产服务器,还是保守治疗,以业务为主吧…

既然被人入侵了,首先还是把防火墙的SSH映射关掉吧,毕竟服务器现在还要用,还是写几条iptables规则吧

iptables -A OUTPUT -o lo -j ACCEPT

允许本机访问本机

iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT

允许主动访问本服务器的请求

iptables -A OUTPUT –p tcp –d 192.168.1.235 -jACCEPT

允许服务器主动访问的IP白名单

iptables -A DROP

拒绝对外访问

到此,业务恢复正常。

0×03 查找原因

其实原因一开始我就意识到了是SSH的问题,只是先要帮人把业务恢复了再说,web端口方面就只有tomcat的,web漏洞都查过了,什么struts2,manager页面,还有一些常规web漏洞均不会存在,除非有0day…. Oracle也不外连,只有个SSH

基于这一点,我直接查root账户ssh登陆日志,翻啊翻,终于….

cd /var/log     less secure

如上图,使用印尼IP爆破成功,而后面服务器内网IP登陆竟然是失败,问了客户,算是明白了怎么回事,他们年底加设备,给服务器临时改了弱密码方便各种第三方技术人员调试,然后估计忘了改回来,结果悲剧了,被坏人登陆了不说,root密码还被改,自己都登不上…不知道他们老板知不知道…

继续查看history文件,看人家都干了些什么。

坏人的操作过程基本就在这里了,他执行了好多脚本,谁知道他干了多少事,还是建议客户重装系统吧…

0×04 后记

主要还是自己经验尚浅,linux运维玩的不熟,不知道怎么把马儿彻底赶出去…大牛勿喷。


本文分享自微信公众号 - 马哥Linux运维(magedu-Linux),作者:豌豆

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-02-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Linux运维人员应该知道的Linux服务器安全指南

    今天小编要跟大家分享的文章是关于Linux运维人员应该知道的Linux服务器安全指南。熟悉Linux运维工作的小伙伴都知道Linux服务器安全在运维工作中非常重...

    小小科
  • Linux 服务器安全简明指南

    现在让我们强化你的服务器以防止未授权访问。 -- Phil Zona 本文导航 -经常升级系统00% -自动安全更新02% -添加一个受限用户账户07% -Ce...

    小小科
  • 神技能 | 手把手教您把CentOS7服务器变成上网路由器

    网络拓扑图及说明 说明 服务器通过静态IP上网,外网连接eth0口,IP为200.0.0.2;eth1口连接内网交换机,内网网段为192.168.10.1/24...

    小小科
  • 记一次Linux服务器被入侵后的检测过程

    0x00 前言 故事是这样的,大年初一,客户反应他们服务器无法访问,查看路由,发现某oracle+tomcat服务器UDP流量超大,把带宽占完了,过年嘛,客户那...

    FB客服
  • R海拾遗-shiny_先康康

    运行之后R语言会弹出一个网页,这个网页布局如下,上面为交互式的直方图,下面为app.R的代码

    用户7760819
  • linux关闭防火墙后还访问不了Web?已解决,关闭防火墙及清除防火墙策略

    不关闭防火墙,我们ping Linux服务器的IP会ping不通,所以我们要对防火墙进行设置。

    陈哈哈
  • 业内推荐系统架构介绍

    学术界往往更加关注推荐算法的各项评估指标。从基本的协同过滤到点击率预估算法,从深度学习到强化学习,学术界都始终走在最前列。一个推荐算法从出现到在业界得到广泛应用...

    石晓文
  • 任正非:鸿蒙系统已经上网,即将应用到全系产品

    据新浪报道,华为创始人任正非在 2020 冬季达沃斯论坛上表示,鸿蒙系统已经上网,未来会应用到华为旗下手机、平板、电视等系列产品。

    SDNLAB
  • 通俗易懂,互联网的常见推荐算法

    没有复杂的公式,没有晦涩的技术词汇,从最简易的案例,了解互联网最常见的推荐算法,每篇1分钟,保证弄懂。 一、《从电影推荐开始,聊协同过滤》 什么是协同过滤 协同...

    架构师之路
  • GitHub上万星:超精细的漫画上色AI,老婆画风任你选择,登上了趋势榜

    这只AI,名字叫做style2paintV4。它在GitHub摘下了一万颗星,并登上了趋势榜。

    代码医生工作室

扫码关注云+社区

领取腾讯云代金券