這篇文章主要介紹了Linux服務(wù)器被入侵怎么辦,具有一定借鑒價值,感興趣的朋友可以參考下,希望大家閱讀完這篇文章之后大有收獲,下面讓小編帶著大家一起了解一下。
為高州等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計制作服務(wù),及高州網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為成都網(wǎng)站建設(shè)、成都網(wǎng)站設(shè)計、高州網(wǎng)站設(shè)計,以傳統(tǒng)方式定制建設(shè)網(wǎng)站,并提供域名空間備案等一條龍服務(wù),秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達到每一位用戶的要求,就會得到認可,從而選擇與我們長期合作。這樣,我們也可以走得更遠!一、背景
晚上看到有臺服務(wù)器流量跑的很高,明顯和平常不一樣,流量達到了800Mbps,第一感覺應(yīng)該是中木馬了,被人當做肉雞了,在大量發(fā)包。
我們的服務(wù)器為了最好性能,防火墻(iptables)什么的都沒有開啟,但是服務(wù)器前面有物理防火墻,而且機器都是做的端口映射,也不是常見的端口,按理來說應(yīng)該是滿安全的,可能最近和木馬有緣吧,老是讓我遇到,也趁這次機會把發(fā)現(xiàn)過程記錄一下。
二、發(fā)現(xiàn)并追蹤處理
1、查看流量圖發(fā)現(xiàn)問題
查看的時候網(wǎng)頁非常卡,有的時候甚至沒有響應(yīng)。
2、top動態(tài)查看進程
我馬上遠程登錄出問題的服務(wù)器,遠程操作很卡,網(wǎng)卡出去的流量非常大,通過top發(fā)現(xiàn)了一個異常的進程占用資源比較高,名字不仔細看還真以為是一個Web服務(wù)進程。
3、ps命令查看進程的路徑
發(fā)現(xiàn)這個程序文件在/etc目錄下面,是個二進制程序,我拷貝了下來,放到了本文附近位置,以供大家在虛擬機上面研究,哈哈。
4、結(jié)束異常進程并繼續(xù)追蹤
1 2 | killall -9 nginx1 rm -f /etc/nginx1 |
干掉進程之后,流量立刻下來了,遠程也不卡頓了,難道刪掉程序文件,干掉異常進程我們就認為處理完成了么?想想也肯定沒那么簡單的,這個是木馬啊,肯定還會自己生成程序文件(果然不出我所料,在我沒有搞清楚之前,后面確實又生成了)我們得繼續(xù)追查。
5、查看登錄記錄及日志文件secure
通過命令last查看賬戶登錄記錄,一切正常。查看系統(tǒng)文件message并沒有發(fā)現(xiàn)什么,但是當我查看secure文件的時候發(fā)現(xiàn)有些異常,反正是和認證有關(guān)的,應(yīng)該是嘗試連進來控制發(fā)包?
6、再次ps查看進程
其實第一次ps的時候就有這個問題,那時候沒有發(fā)現(xiàn),第二次是自習查看每個進程,自習尋找不太正常的進程,發(fā)現(xiàn)了一個奇怪的ps進程。
我找了一臺正常的機器,查看了一下ps命令的大小,正常的大約是81KB,然后這臺機器上面的ps卻高達1.2M,命令文件肯定是被替換了。
然后進入另一個ps的目錄,看到有如下幾個命令,然后我有查詢了一下系統(tǒng)的這幾個命令,發(fā)現(xiàn)都變得很大,都達到了1.2M,這些系統(tǒng)命令文件肯定是都被替換了。
7、更多異常文件的發(fā)現(xiàn)
查看定時任務(wù)文件crontab并沒有發(fā)現(xiàn)什么一次,然后查看系統(tǒng)啟動文件rc.local,也沒有什么異常,然后進入/etc/init.d目錄查看,發(fā)現(xiàn)比較奇怪的腳本文件DbSecuritySpt、selinux。
第一個文件可以看出他就是開機啟動那個異常文件的,第二個應(yīng)該和登錄有關(guān),具體我還不是很清楚,反正肯定是有問題的。
既然和登錄有關(guān),那就找和ssh相關(guān)的,找到了下面的一個文件,是隱藏文件,這個也是木馬文件,我們先記錄下來,這樣程序名字都和我們的服務(wù)名字很相近,就是為了迷惑我們,他們的大小都是1.2M,他們有可能是一個文件。
我有看了一下木馬喜歡出現(xiàn)的目錄/tmp,也發(fā)現(xiàn)了異常文件,從名字上感覺好像是監(jiān)控木馬程序的。
想到這里,替換的命令應(yīng)該很多,單靠我們?nèi)フ铱隙ㄊ墙鉀Q不了的,我的建議最好是重裝操作系統(tǒng),并做好安全策略,如果不重裝,我下面給一下我的方法,具體行不行有待驗證。
三、木馬手動清除
現(xiàn)在綜合總結(jié)了大概步驟如下:
1、簡單判斷有無木馬
1 2 3 4 5 6 7 8 9 10 | #有無下列文件 cat /etc/rc.d/init.d/selinux cat /etc/rc.d/init.d/DbSecuritySpt ls /usr/bin/bsd-port ls /usr/bin/dpkgd #查看大小是否正常 ls -lh /bin/netstat ls -lh /bin/ps ls -lh /usr/sbin/lsof ls -lh /usr/sbin/ss |
2、上傳如下命令到/root下
1 | ps netstat ss lsof |
3、刪除如下目錄及文件
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | rm -rf /usr/bin/dpkgd (ps netstat lsof ss) rm -rf /usr/bin/bsd-port #木馬程序 rm -f /usr/bin/.sshd #木馬后門 rm -f /tmp/gates.lod rm -f /tmp/moni.lod rm -f /etc/rc.d/init.d/DbSecuritySpt(啟動上述描述的那些木馬變種程序) rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt rm -f /etc/rc.d/init.d/selinux(默認是啟動/usr/bin/bsd-port/getty) rm -f /etc/rc.d/rc1.d/S99selinux rm -f /etc/rc.d/rc2.d/S99selinux rm -f /etc/rc.d/rc3.d/S99selinux rm -f /etc/rc.d/rc4.d/S99selinux rm -f /etc/rc.d/rc5.d/S99selinux |
4、找出異常程序并殺死
5、刪除含木馬命令并重新安裝(或者把上傳的正常程序復制過去也行)
我自己重新安裝好像不行,我是找的正常的機器復制的命令。
1 2 3 4 5 6 7 8 9 10 11 12 | #ps /root/chattr -i -a /bin/ps && rm /bin/ps -f yum reinstall procps -y 或 cp /root/ps /bin #netstat /root/chattr -i -a /bin/netstat && rm /bin/netstat -f yum reinstall net-tools -y 或 cp /root/netstat /bin #lsof /root/chattr -i -a /bin/lsof && rm /usr/sbin/lsof -f yum reinstall lsof -y 或 cp /root/lsof /usr/sbin #ss /root/chattr -i -a /usr/sbin/ss && rm /usr/sbin/ss -f yum -y reinstall iproute 或 cp /root/ss /usr/sbin |
四、殺毒工具掃描
1、安裝殺毒工具clamav
1 | yum -y install clamav clamav-milter |
2、啟動服務(wù)
1 | service clamd restart |
3、更新病毒庫
由于ClamAV不是最新版本,所以有告警信息??梢院雎曰蛏壸钚掳姹尽?
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | [root@mobile ~]# freshclam ClamAV update process started at Sun Jan 31 03:15:52 2016 WARNING: Can't query current.cvd.clamav.net WARNING: Invalid DNS reply. Falling back to HTTP mode. Reading CVD header (main.cvd): WARNING: main.cvd not found on remote server WARNING: Can't read main.cvd header from db.cn.clamav.net (IP: 185.100.64.62) Trying again in 5 secs... ClamAV update process started at Sun Jan 31 03:16:25 2016 WARNING: Can't query current.cvd.clamav.net WARNING: Invalid DNS reply. Falling back to HTTP mode. Reading CVD header (main.cvd): Trying host db.cn.clamav.net (200.236.31.1)... OK main.cvd is up to date (version: 55, sigs: 2424225, f-level: 60, builder: neo) Reading CVD header (daily.cvd): OK (IMS) daily.cvd is up to date (version: 21325, sigs: 1824133, f-level: 63, builder: neo) Reading CVD header (bytecode.cvd): OK (IMS) bytecode.cvd is up to date (version: 271, sigs: 47, f-level: 63, builder: anvilleg) |
4、掃描方法
可以使用clamscan -h查看相應(yīng)的幫助信息
1 2 3 4 5 | clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.log clamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.log clamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log clamscan -r --remove /usr/bin/bsd-port clamscan -r --remove /usr/bin/ |
5、查看日志發(fā)現(xiàn)
把發(fā)現(xiàn)的命令刪掉替換正常的
附錄:Linux.BackDoor.Gates.5
經(jīng)過查詢資料,這個木馬應(yīng)該是Linux.BackDoor.Gates.5,找到一篇文件,內(nèi)容具體如下:
某些用戶有一種根深蒂固的觀念,就是目前沒有能夠真正威脅Linux內(nèi)核操作系統(tǒng)的惡意軟件,然而這種觀念正在面臨越來越多的挑戰(zhàn)。與4月相比,2014年5月Doctor Web公司的技術(shù)人員偵測到的Linux惡意軟件數(shù)量創(chuàng)下了新紀錄,六月份這些惡意軟件名單中又增加了一系列新的Linux木馬,這一新木馬家族被命名為Linux.BackDoor.Gates。
在這里描述的是惡意軟件家族Linux.BackDoor.Gates中的一個木馬:Linux.BackDoor.Gates.5,此惡意軟件結(jié)合了傳統(tǒng)后門程序和DDoS攻擊木馬的功能,用于感染32位Linux版本,根據(jù)其特征可以斷定,是與Linux.DnsAmp和Linux.DDoS家族木馬同出于一個病毒編寫者之手。新木馬由兩個功能模塊構(gòu)成:基本模塊是能夠執(zhí)行不法分子所發(fā)指令的后門程序,第二個模塊在安裝過程中保存到硬盤,用于進行DDoS攻擊。Linux.BackDoor.Gates.5在運行過程中收集并向不法分子轉(zhuǎn)發(fā)受感染電腦的以下信息:
CPU核數(shù)(從/proc/cpuinfo讀取)。
CPU速度(從/proc/cpuinfo讀?。?。
CPU使用(從/proc/stat讀?。?。
Gate'a的 IP(從/proc/net/route讀取)。
Gate'a的MAC地址(從/proc/net/arp讀?。?。
網(wǎng)絡(luò)接口信息(從/proc/net/dev讀?。?。
網(wǎng)絡(luò)設(shè)備的MAC地址。
內(nèi)存(使用/proc/meminfo中的MemTotal參數(shù))。
發(fā)送和接收的數(shù)據(jù)量(從/proc/net/dev讀?。?。
操作系統(tǒng)名稱和版本(通過調(diào)用uname命令)。
啟動后,Linux.BackDoor.Gates.5會檢查其啟動文件夾的路徑,根據(jù)檢查得到的結(jié)果實現(xiàn)四種行為模式。
如果后門程序的可執(zhí)行文件的路徑與netstat、lsof、ps工具的路徑不一致,木馬會偽裝成守護程序在系統(tǒng)中啟動,然后進行初始化,在初始化過程中解壓配置文件。配置文件包含木馬運行所必須的各種數(shù)據(jù),如管理服務(wù)器IP地址和端口、后門程序安裝參數(shù)等。
根據(jù)配置文件中的g_iGatsIsFx參數(shù)值,木馬或主動連接管理服務(wù)器,或等待連接:成功安裝后,后門程序會檢測與其連接的站點的IP地址,之后將站點作為命令服務(wù)器。
木馬在安裝過程中檢查文件/tmp/moni.lock,如果該文件不為空,則讀取其中的數(shù)據(jù)(PID進程)并“干掉”該ID進程。然后Linux.BackDoor.Gates.5會檢查系統(tǒng)中是否啟動了DDoS模塊和后門程序自有進程(如果已啟動,這些進程同樣會被“干掉”)。如果配置文件中設(shè)置有專門的標志g_iIsService,木馬通過在文件/etc/init.d/中寫入命令行#!/bin/bash\n<path_to_backdoor>將自己設(shè)為自啟動,然后Linux.BackDoor.Gates.5創(chuàng)建下列符號鏈接:
1 2 3 4 | ln -s /etc/init.d/DbSecuritySpt /etc/rc1.d/S97DbSecuritySpt ln -s /etc/init.d/DbSecuritySpt /etc/rc2.d/S97DbSecuritySpt ln -s /etc/init.d/DbSecuritySpt /etc/rc3.d/S97DbSecuritySpt ln -s /etc/init.d/DbSecuritySpt /etc/rc4.d/S97DbSecuritySpt |
如果在配置文件中設(shè)置有標志g_bDoBackdoor,木馬同樣會試圖打開/root/.profile文件,檢查其進程是否有root權(quán)限。然后后門程序?qū)⒆约簭椭频?usr/bin/bsd-port/getty中并啟動。在安裝的最后階段,Linux.BackDoor.Gates.5在文件夾/usr/bin/再次創(chuàng)建一個副本,命名為配置文件中設(shè)置的相應(yīng)名稱,并取代下列工具:
1 2 3 4 5 6 7 8 9 | /bin/netstat /bin/lsof /bin/ps /usr/bin/netstat /usr/bin/lsof /usr/bin/ps /usr/sbin/netstat /usr/sbin/lsof /usr/sbin/ps |
木馬以此完成安裝,并開始調(diào)用基本功能。
執(zhí)行另外兩種算法時木馬同樣會偽裝成守護進程在被感染電腦啟動,檢查其組件是否通過讀取相應(yīng)的.lock文件啟動(如果未啟動,則啟動組件),但在保存文件和注冊自啟動時使用不同的名稱。
與命令服務(wù)器設(shè)置連接后,Linux.BackDoor.Gates.5接收來自服務(wù)器的配置數(shù)據(jù)和僵尸電腦需完成的命令。按照不法分子的指令,木馬能夠?qū)崿F(xiàn)自動更新,對指定IP地址和端口的遠程站點發(fā)起或停止DDoS攻擊,執(zhí)行配置數(shù)據(jù)所包含的命令或通過與指定IP地址的遠程站點建立連接來執(zhí)行其他命令。
此后門程序的主要DDoS攻擊目標是中國的服務(wù)器,然而不法分子攻擊對象也包括其他國家。下圖為利用此木馬進行的DDoS攻擊的地理分布:
感謝你能夠認真閱讀完這篇文章,希望小編分享的“Linux服務(wù)器被入侵怎么辦”這篇文章對大家有幫助,同時也希望大家多多支持創(chuàng)新互聯(lián),關(guān)注創(chuàng)新互聯(lián)-成都網(wǎng)站建設(shè)公司行業(yè)資訊頻道,更多相關(guān)知識等著你來學習!
網(wǎng)頁題目:Linux服務(wù)器被入侵怎么辦-創(chuàng)新互聯(lián)
網(wǎng)站鏈接:http://muchs.cn/article14/pgsge.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供建站公司、網(wǎng)站制作、外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站建設(shè)、App設(shè)計、動態(tài)網(wǎng)站
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容