昨天修改了部分代码,今天打算上线测试,发现一台服务器用密钥连接不上,下意识里想到那台机器可能被人攻击了。
root用户通过密钥连接不上,那就换root密码,结果也不行。
用之前设置的一个普通用户帐号登录,可以。
进到系统,su -,无法进入root,确认root密码被人改掉了。
last,发现有几个国外的IP,一个荷兰的,一个泰国的。
恩,接下来应该考虑夺回root权限。
当然,请求机房网管进入单用户模式,然后重设root密码是一种简单粗暴的方法。
但是,咱脸皮薄,不想麻烦人家网管,也不想浪费电话费;-)
要得到root权限,只有通过漏洞提权了。
好在系统中有好多漏洞可以利用,并且我还没有进行更新。
选了一个sendpage的漏洞进行提权,从俺的exploit库中找出来,打包扔掉一个web服务器上。
接下来。。。。就拿回了root权限。
拿回root权限后,做的第一件事情就是马上把root密码改了,注意不要改成自己的密码,或者是其他机器的密码,当心被人装了keylogger。
接下来到/root下面瞧了一下,MD东西都被删光了,还有几个core文件。
以为core文件是我的程序生成的,删掉,依然有,看来不是俺的程序之前生成的。
可以肯定,里面有猫腻。
决定使用chkrootkit和rkhunter进行一下检测。
从网站上down下了两个软件包。
在做处理之前,把防火墙进行了一下设置,屏蔽了国外的IP访问,看你Y的再连进来。
运行chkrootkit和rkhunter的时候出现大量coredump,而且用一些命令的时候也出现了coredump,尤其是grep,可以断定grep被人替换了。
那就O了,看看都被人替换了些什么东东。
find /bin -type f -mtime -2
/bin/more
/bin/ln
/bin/mv
/bin/setfont
/bin/zcat
/bin/grep
/bin/zsh
/bin/dmesg
/bin/date
/bin/dbus-cleanup-sockets
/bin/sync
/bin/ksh
/bin/mktemp
/bin/dumpkeys
/bin/loadkeys
/bin/chmod
/bin/sed
/bin/mkdir
/bin/mknod
/bin/doexec
/bin/tcsh
/bin/mountpoint
/bin/gunzip
/bin/netstat
/bin/gzip
写了一个脚本,从其他机器上提取出这些文件,然后打了一个包,扔到一个web上。
down下来,覆盖。
好了,继续chkrookit和rkhunter吧。
chkrootkit和rkhunter顺利执行没有发现什么异常。
诡异啊,攻击者不可能只做这么点处理啊,继续追查。
find /etc -type f -mtime -2
只发现了shadow被人修改过,改root密码导致的。
ps 发现了一个叫http的进程,而且httpd也被人启了。Y的想用障眼法。
find / -type f -name http
在/var/tmp/ /bnc下面发现了http这个东西。
路径中加了一个空格。
bnc,一个irc通信的东东,看来被人抓肉鸡了;-(
清理工作基本上做的差不多了。总的来看,这次的攻击行为不是很高明,估计是用批量抓鸡工具抓的。
反思俺的安全设置:
1. 只靠ssh连接ip的限制来保证系统安全。通常可以很好的工作,但是有时候,自己会打开了限制做些测试,比如昨天;-(
2. 用户的密码太弱了,尤其是root的。
3. 需要建立一套入侵检测系统,检测文件的改变等等
黑客可能的操作:
1. 对一些文件chattr +i,这样你就rm的时候,就会提示Operation not permitted。
2. 安装rootkit,监控文件,删除后重新释放出来。
其实,完全可以把windows下面杀木马的思路搬到这里来操作。
阅读(2451) | 评论(4) | 转发(0) |
