一次Linux服务器的入侵分析报告汇编.pdfVIP

一天，接到朋友的电话，他们公司的 web 服务器被投诉发送垃圾邮件，要求紧急处理，朋友让我过去帮他检查一下。我听了很迷惑， web 服务器怎 么会发送垃圾邮件， 朋友告诉我 web 服务器系统中根本没有安装 mail 服务， 应该是不可能发送垃圾邮件的。 直觉告诉我可能是被别人 hacking 了？ 我到了朋友公司的机房，使用 securecrt 登陆到服务器， ps 一下，发现有几个异常的程序，如下图一所示，有一个 sendmail 程序，还有一个异 常的 SCREEN程序。肯定是被黑了，有得忙了。 图一： ps –aux 发现的异常进程 用 netstat –an 看一下，发现比较奇怪的端口 1985，还有一个 /dev/gpmctl 的数据流，以前是没有过的。 图二： netstat –an 看到的异常 来到 /var/log 目录下，看一下 secure 日志，这一看，不要紧，一看吓一跳，日志显示，从 10 月 9 号上午 11:01:22 开始一直到 10 月 10 号的凌 晨 03:37:33 期间，不断有用户对机器进行 ssh 的野蛮滥用，而且从日志中可以看到进行弱口令账号测试的不是一台机器，而是来自几台不同的机 器，它们分别是 140.123.230.*( 台湾 ) 211.173.47.* ( 韩国 ) 164.164.149.* ( 印度 ) 210.118.26.* （韩国） 217.199.173.* （英国） 218.5.117.* （福建泉州） 211.90.95.* （江苏联通） 这么多机器进行分布式协作来寻找机器上的弱口令，看来如果要查证源头是比较困难的，难道是僵尸网络中的僵尸机器，而且有一个是福建泉州 的 adsl 拨号账户和江苏联通的用户，要查证的话必然要从它开始查了，呵呵，可惜我不是取证专家，查证的事就放在一旁吧。 图三： /var/log/secure 看到的 ssh 登陆日志 用 last 日志看一下过去的登陆记录，如下图四显示，可以看出从域名 floman2.mediasat 登陆，用 nslookup 查询竟然找不到这个域名。 图四： last 日志 再看看 wtmp 日志， 用 who wtmp 看到如下图五的日志， 这里显示的域名是 floman2.mediasat.ro ，用 nslookup 可以查到域名服务器是位于 罗马尼亚， dns 服务器 ip 为 193.231.170.* 。 图五： who wtmp 看到的日志记录 我们来定位一下在图一中发现的 sendmail 程序的来源，用如下图六中的命令。 图六：找到 sendmail 的来源 发现 sendmail 是位于 /etc/log.d/scripts/service 目录下，应该就是 sendmail 脚本就用来转发所谓的垃圾邮件。只需将这些脚本删除，就可以 解决发送垃圾邮件的问题。但是服务器中有其它异常的进程，被别人 hacking 了，这个解决起来就困难多了。 再来定位一下图一中异常的 screen 程序， 用命令 Lo ca te screen 来定位， 输出如下图所示， 看来有很多文件要查啊。 从图中可以看出， “.screen ” 以. 开始的目录，这应该是一个隐藏的目录。 图七： locate screen 定位 screen 的结果 来到 /home/upload 目录，用 ls 命令看不到，果真是隐藏了。隐藏也没有关系，可以直接进入 .screen 目录。如下图八。 图八：进入 upload 目录，发现里面的子目录都是隐藏的 用 ls －la 发现有很多为 0 字节的文件，如下图十二所示，类型以 p 开头的，这是管道文件，