Linux入侵web木马JSP.docVIP

author:bobkey date:2006.07.26 mail：toqinbo AT 从宏观角度看待这次入侵，并分析其中的细节。 关键字：Linux 入侵 web 木马 JSP 接到某公司的应急响应请求，在电话里大致描述了一台linuxAS4 的web服务器遭受入侵。下午2点30分，赶达现场，对被入侵并已经恢复的服务器进行检测，目标是发现攻击者入侵的途径、确认攻击者入侵后对服务器的影响，同时提出安全建议，避免相同事件的再次发生。 以下是处理过程： 3-15 11:30 接到应急响应请求，并和深圳浩天巫思诺联系，决定下午到现场处理。 3-15 14:30 到现场并和客户一起讨论了目前的网络拓扑、网站配置，以及发现的入侵情况。网络拓扑如下： 网站初期发现首页出现乱码，在追查的情况下发现页面被修改（由于有页面同步机制，导致攻击者的页面被及时恢复，对网站影响不大）。从网站服务器 APCHE 日志中追查到攻击行为，发现 JSP 后门，同时发现攻击的方法，是通过相片上传的漏洞导致的安全问题。之后通知了开发修改程序，删除了相关的后门。 3-15 15:20在客户陪同下，和开发部门经理进行了沟通，大致了解了目前发现的问题。目前开发部门已经强制修改上传文件的后缀为“JPG”，基本能解决上传的问题。我提出希望能得到存在威胁的开发代码进行分析。 3-15 15:40～17：30 我远程登陆了五台服务器，包括三台 WWW 服务器，一台文件服务器和一台管理服务器，经过检查，未发现服务器的操作系统被入侵或者植入后门。和客户协商后，决定提供 APCHE 日志，绿我第二天下载后进行分析。 3-16下载日志文件， 4.3 G，当天下班前才下载完。 3-17 ~ 3-20，对日志进行分析，整理分析报告。分析结果如下： 1．系统分析，系统层面安全，系统文件、进程等正常。 检查了系统的history纪录、lastcomm纪录、/var/log/secure* /var/log/message*，没有发现可疑信息。检查如下没有发现可疑现象：口令文件、常用二进制HASH值、crond、suid sgid文件、/etc/profile、/etc/rc*.d各启动脚本属性、各隐藏文件的内容、加载的模块信息、工具chkrootkit扫描信息。 其中 SUID 文件如下，此类文件可作为权限提升途径，检查未发现异常： -rwsr-xr-x 1 root 60296 2005-07-27 /bin/umount -rwsr-xr-x 1 root 61927 2005-06-20 /bin/su -rwsr-xr-x 1 root 92304 2005-07-27 /bin/mount -rwsr-xr-x 1 root 28040 2004-10-11 /bin/traceroute -rwsr-xr-x 1 root 32312 2005-07-19 /bin/ping6 -rwsr-xr-x 1 root 36568 2005-07-19 /bin/ping -rwsr-xr-x 1 root 15488 2005-07-19 /bin/traceroute6 -rws--x--x 1 root 2411778 2005-09-20 /usr/X11R6/bin/Xorg -rws--x--x 1 root 20104 2005-07-27 /usr/bin/chsh -rwsr-xr-x 1 root 8624 2005-07-13 /usr/bin/kpac_dhcp_helper -rwxr-sr-x 1 mail 19672 2004-06-16 /usr/bin/lockfile -rws--x--x 1 root 10920 2005-07-27 /usr/bin/newgrp s--x--x 1 root 104992 2005-07-21 /usr/bin/sudo -rwxr-sr-x 1 tty 14328 2005-07-27 /usr/bin/write -r-s--x--x 1 root 27728 2005-06-17 /usr/bin/passwd -r-xr-sr-x 1 tty 14272 2005-07-01 /usr/bin/wall -rwsr-xr-x 1 root 77378 2005-07-12 /usr/bin/crontab -rwxr-sr-x 1 slocate 40632 2005-08-09 /usr/bin/slocate -rwsr-xr-x 1 root 23971 2005-09-12 /usr/bin/lppasswd -rwsr