本篇內(nèi)容介紹了“Linux服務(wù)器被惡意攻擊怎么辦”的有關(guān)知識��,在實(shí)際案例的操作過程中����,不少人都會遇到這樣的困境�����,接下來就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧����!希望大家仔細(xì)閱讀,能夠?qū)W有所成��!
創(chuàng)新互聯(lián)是專業(yè)的那曲網(wǎng)站建設(shè)公司�����,那曲接單;提供成都網(wǎng)站設(shè)計(jì)�����、成都做網(wǎng)站,網(wǎng)頁設(shè)計(jì),網(wǎng)站設(shè)計(jì),建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進(jìn)行那曲網(wǎng)站開發(fā)網(wǎng)頁制作和功能擴(kuò)展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團(tuán)隊(duì),希望更多企業(yè)前來合作!
1���、受攻擊現(xiàn)象
這是一臺客戶的門戶網(wǎng)站服務(wù)器�,托管在電信機(jī)房,客戶接到電信的通知:由于此服務(wù)器持續(xù)對外發(fā)送數(shù)據(jù)包�,導(dǎo)致100M帶寬耗盡,于是電信就切斷了此服務(wù)器的網(wǎng)絡(luò)����。此服務(wù)器是Centos5.5版本,對外開放了80����、22端口。
從客戶那里了解到�,網(wǎng)站的訪問量并不大����,所以帶寬占用也不會太高,而耗盡100M的帶寬是絕對不可能的��,那么極有可能是服務(wù)器遭受了流量攻擊��,于是登錄服務(wù)器做詳細(xì)的檢測��。
2��、初步分析
在電信人員的配合下通過交換機(jī)對該服務(wù)器的網(wǎng)絡(luò)流量進(jìn)行了檢測,發(fā)現(xiàn)該主機(jī)確實(shí)存在對外80端口的掃描流量����,于是登錄系統(tǒng)通過“netstat –an”命令對系統(tǒng)開啟的端口進(jìn)行檢查,可奇怪的是��,沒有發(fā)現(xiàn)任何與80端口相關(guān)的網(wǎng)絡(luò)連接�。接著使用“ps –ef”、“top”等命令也沒有發(fā)現(xiàn)任何可疑的進(jìn)程�����。于是懷疑系統(tǒng)是否被植入了rootkit����。
為了證明系統(tǒng)是否被植入了rootkit,我們將網(wǎng)站服務(wù)器下的ps�、top等命令與之前備份的同版本可信操作系統(tǒng)命令做了md5sum校驗(yàn),結(jié)果發(fā)現(xiàn)網(wǎng)站服務(wù)器下的這兩個命令確實(shí)被修改過���,由此斷定���,此服務(wù)器已經(jīng)被入侵并且安裝了rootkit級別的后門程序。
3�、斷網(wǎng)分析系統(tǒng)
由于服務(wù)器不停向外發(fā)包���,因此,首先要做的就是將此服務(wù)器斷開網(wǎng)絡(luò)����,然后分析系統(tǒng)日志,尋找攻擊源�。但是系統(tǒng)命令已經(jīng)被替換掉了,如果繼續(xù)在該系統(tǒng)上執(zhí)行操作將變得不可信����,這里可以通過兩種方法來避免這種情況,第一種方法是將此服務(wù)器的硬盤取下來掛載到另外一臺安全的主機(jī)上進(jìn)行分析����,另一種方式就是從一個同版本可信操作系統(tǒng)下拷貝所有命令到這個入侵服務(wù)器下某個路徑,然后在執(zhí)行命令的時候指定此命令的完整路徑即可���,這里采用第二種方法。
我們首先查看了系統(tǒng)的登錄日志���,查看是否有可疑登錄信息����,執(zhí)行如下命令:
more /var/log/secure |grep Accepted
通過對命令輸出的查看,有一條日志引起了我們的懷疑:
Oct 3 03:10:25 webserver sshd[20701]: Accepted password for mail from 62.17.163.186 port 53349 ssh3
這條日志顯示在10月3號的凌晨3點(diǎn)10分��,有個mail帳號從62.17.163.186這個IP成功登錄了系統(tǒng)����,mail是系統(tǒng)的內(nèi)置帳號,默認(rèn)情況下是無法執(zhí)行登錄操作的���,而62.17.163.186這個IP���,經(jīng)過查證,是來自愛爾蘭的一個地址����。從mail帳號登錄的時間來看,早于此網(wǎng)站服務(wù)器遭受攻擊的時間����。
接著查看一下系統(tǒng)密碼文件/etc/shadow,又發(fā)現(xiàn)可疑信息:
mail:$1$kCEd3yD6$W1evaY5BMPQIqfTwTVJiX1:15400:0:99999:7:::
很明顯�,mail帳號已經(jīng)被設(shè)置了密碼,并且被修改為可遠(yuǎn)程登錄��,之所以使用mail帳號����,猜想可能是因?yàn)槿肭终呦肓粝乱粋€隱蔽的帳號�����,以方便日后再次登錄系統(tǒng)�。
然后繼續(xù)查看其他系統(tǒng)日志�����,如/var/log/messages�����、/var/log/wtmp均為空文件�,可見,入侵者已經(jīng)清理了系統(tǒng)日志文件���,至于為何沒有清空/var/log/secure文件���,就不得而知了。
4�����、尋找攻擊源
到目前為止�,我們所知道的情況是,有個mail帳號曾經(jīng)登錄過系統(tǒng)����,但是為何會導(dǎo)致此網(wǎng)站服務(wù)器持續(xù)對外發(fā)送數(shù)據(jù)包呢?必須要找到對應(yīng)的攻擊源�����,通過替換到此服務(wù)器上的ps命令查看系統(tǒng)目前運(yùn)行的進(jìn)程��,又發(fā)現(xiàn)了新的可疑:
nobody 22765 1 6 Sep29 �����? 4-00:11:58 .t
這個.t程序是什么呢�,繼續(xù)執(zhí)行top命令,結(jié)果如下:
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
22765 nobody 15 0 1740m 1362m 1228 S 98.3 91.5 2892:19 .t
從輸出可知��,這個t程序已經(jīng)運(yùn)行了4天左右�,運(yùn)行這個程序的是nobody用戶,并且這個t程序消耗了大量的內(nèi)存和cpu��,這也是之前客戶反映的網(wǎng)站服務(wù)器異常緩慢的原因�����,從這個輸出,我們得到了t程序的進(jìn)程PID為22765��,接下來根據(jù)PID查找下執(zhí)行程序的路徑在哪里:
進(jìn)入內(nèi)存目錄�,查看對應(yīng)PID目錄下exe文件的信息:
[root@webserver ~]# /mnt/bin/ls -al /proc/22765/exe
lrwxrwxrwx 1 root root 0 Sep 29 22:09 /proc/22765/exe -》 /var/tmp/…/apa/t
這樣就找到了進(jìn)程對應(yīng)的完整程序執(zhí)行路徑,這個路徑很隱蔽�����,由于/var/tmp目錄默認(rèn)情況下任何用戶可讀性�,而入侵者就是利用這個漏洞在/var/tmp目錄下創(chuàng)建了一個“…”的目錄,而在這個目錄下隱藏著攻擊的程序源�,進(jìn)入/var/tmp/…/目錄,發(fā)現(xiàn)了一些列入侵者放置的rootkit文件���,列表如下:
[root@webserver ����。�����。.]#/mnt/bin/ls -al
drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 apa
-rw-r--r-- 1 nobody nobody 0 Sep 29 22:09 apa.tgz
drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 caca
drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 haha
-rw-r--r-- 1 nobody nobody 0Sep 29 22:10 kk.tar.gz-
rwxr-xr-x 1 nobody nobody 0 Sep 29 22:10 login
-rw-r--r-- 1 nobody nobody 0 Sep 29 22:10 login.tgz
-rwxr-xr-x 1 nobody nobody 0 Sep 29 22:10 z
通過對這些文件的分析,基本判斷這就是我們要找的程序攻擊源�����,其中:
1)��、z程序是用來清除系統(tǒng)日志等相關(guān)信息的���,例如執(zhí)行:
。/z 62.17.163.186
這條命令執(zhí)行后���,系統(tǒng)中所有與62.17.163.186有關(guān)的日志將全部被清除掉��。
2)���、在apa目錄下有個后門程序t,這個就是之前在系統(tǒng)中看到的�,運(yùn)行此程序后,此程序會自動去讀apa目錄下的ip這個文件���,而ip這個文件記錄了各種ip地址信息�,猜想這個t程序應(yīng)該是去掃描ip文件中記錄的所有ip信息�,進(jìn)而獲取遠(yuǎn)程主機(jī)的權(quán)限,可見這個網(wǎng)站服務(wù)器已經(jīng)是入侵者的一個肉雞了。
3)�、haha目錄里面放置的就是用來替換系統(tǒng)相關(guān)命令的程序,也就是這個目錄下的程序使我們無法看到操作系統(tǒng)的異常情況�����。
4)����、login程序就是用來替換系統(tǒng)登錄程序的木馬程序,此程序還可以記錄登錄帳號和密碼����。
5、查找攻擊原因
到這里為止��,服務(wù)器上遭受的攻擊已經(jīng)基本清晰了����,但是入侵者是如何侵入這臺服務(wù)器的呢?這個問題很重要�,一定要找到入侵的根源,才能從根本上封堵漏洞����。
為了弄清楚入侵者是如何進(jìn)入服務(wù)器的����,需要了解下此服務(wù)器的軟件環(huán)境�,這臺服務(wù)器是一個基于java的web服務(wù)器,安裝的軟件有apache2.0.63��、tomcat5.5����,apache和tomcat之間通過mod_jk模塊進(jìn)行集成�,apache對外開放80端口,由于tomcat沒有對外開放端口��,所以將問題集中到apache上面����。
通過查看apache的配置發(fā)現(xiàn),apache僅僅處理些靜態(tài)資源請求�����,而網(wǎng)頁也以靜態(tài)頁面居多�����,所以通過網(wǎng)頁方式入侵系統(tǒng)可能性不大,既然漏洞可能來自于apache�,那么嘗試查看apache日志,也許能發(fā)現(xiàn)一些可疑的訪問痕跡�����,通過查看access.log文件����,發(fā)現(xiàn)了如下信息:
62.17.163.186 - - [29/Sep/2013:22:17:06 +0800] “GET http://www.xxx.com/cgi-bin/awstats.pl?configdir=|echo;echo;ps+-aux%00 HTTP/1.0” 200 12333 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.8.1) Gecko/20121010 Firefox/2.0”
62.17.163.186 - - [29/Sep/213:22:17:35 +0800] “GET http://www.xxx.com/cgi-bin/awstats.pl����?configdir=|echo;echo;cd+/var/tmp/。���。./haha;ls+-a%00 HTTP/1.0” 200 1626 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.8.1) Gecko/20121010 Firefox/2.0”
至此���,發(fā)現(xiàn)了漏洞的根源,原來是awstats.pl腳本中configdir的一個漏洞����,通過了解此服務(wù)器的應(yīng)用,客戶確實(shí)是通過一個Awstats的開源插件來做網(wǎng)頁訪問統(tǒng)計(jì)��,通過這個漏洞,攻擊者可以直接在瀏覽器上操作服務(wù)器�����,例如查看進(jìn)程�����、創(chuàng)建目錄等�。通過上面第二條日志可以看出,攻擊者正常瀏覽器執(zhí)行切換到/var/tmp/�。����。./haha目錄的操作。
這個腳本漏洞挺可怕的��,不過在Awstats官網(wǎng)也早已給出了修補(bǔ)的方法�����,對于這個漏洞�����,修復(fù)方法很簡單,打開awstats.pl文件����,找到如下信息:
if ($QueryString =~ /configdir=([^&]+)/i)
{
$DirConfig=&DecodeEncodedString(“$1”);
}
修改為如下即可:
if ($QueryString =~ /configdir=([^&]+)/i)
{
$DirConfig=&DecodeEncodedString(“$1”);
$DirConfig=~tr/a-z0-9_\-\/\。/a-z0-9_\-\/\�。/cd;
}
6、揭開謎團(tuán)
通過上面逐步分析和介紹�,此服務(wù)遭受入侵的原因和過程已經(jīng)非常清楚了,大致過程如下:
(1)攻擊者通過Awstats腳本awstats.pl文件的漏洞進(jìn)入了系統(tǒng)���,在/var/tmp目錄下創(chuàng)建了隱藏目錄�,然后將rootkit后門文件傳到這個路徑下�。
(2)攻擊者通過植入后門程序,獲取了系統(tǒng)超級用戶權(quán)限�����,進(jìn)而控制了這臺服務(wù)器�����,通過這臺服務(wù)器向外發(fā)包���。
(3)攻擊者的IP地址62.17.163.186可能是通過代理過來的���,也可能是攻擊者控制的其他肉雞服務(wù)器��。
(4)攻擊者為了永久控制這臺機(jī)器����,修改了系統(tǒng)默認(rèn)帳號mail的信息��,將mail帳號變?yōu)榭傻卿?,并且設(shè)置了mail帳號的密碼。
(5)攻擊者在完成攻擊后����,通過后門程序自動清理了系統(tǒng)訪問日志,毀滅了證據(jù)���。
通過對這個入侵過程的分析,發(fā)現(xiàn)入侵者的手段還是非常簡單和普遍的���,雖然入侵者刪除了系統(tǒng)的一些日志����,但是還是留下了很多可查的蹤跡����,其實(shí)還可以查看用戶下的.bash_history文件�,這個文件是用戶操作命令的歷史記錄�����。
7�����、如何恢復(fù)網(wǎng)站
由于系統(tǒng)已經(jīng)文件被更改和替換��,此系統(tǒng)已經(jīng)變得完全不可信��,因此建議備份網(wǎng)站數(shù)據(jù)����,重新安裝系統(tǒng),基本步驟如下:
(1)安裝穩(wěn)定版本的操作系統(tǒng)�����,刪除系統(tǒng)默認(rèn)的并且不需要的用戶���。
(2)系統(tǒng)登錄方式改為公鑰認(rèn)證方式�����,避開密碼認(rèn)證的缺陷�����。
(3)安裝更高版本的apache和最新穩(wěn)定版本的Awstats程序�����。
(4)使用Linux下的Tcp_Wrappers防火墻��,限制ssh登錄的源地址���。
“Linux服務(wù)器被惡意攻擊怎么辦”的內(nèi)容就介紹到這里了��,感謝大家的閱讀��。如果想了解更多行業(yè)相關(guān)的知識可以關(guān)注創(chuàng)新互聯(lián)網(wǎng)站,小編將為大家輸出更多高質(zhì)量的實(shí)用文章���!
網(wǎng)站標(biāo)題:Linux服務(wù)器被惡意攻擊怎么辦
轉(zhuǎn)載來于:
http://weahome.cn/article/jhedch.html
重慶分公司
重慶分公司
