一次Linux服务器的入侵分析报告汇编.pdfVIP

  • 3
  • 0
  • 约7.76千字
  • 约 10页
  • 2021-11-28 发布于福建
  • 举报
一天,接到朋友的电话,他们公司的 web 服务器被投诉发送垃圾邮件,要求紧急处理,朋友让我过去帮他检查一下。我听了很迷惑, web 服务器怎 么会发送垃圾邮件, 朋友告诉我 web 服务器系统中根本没有安装 mail 服务, 应该是不可能发送垃圾邮件的。 直觉告诉我可能是被别人 hacking 了? 我到了朋友公司的机房,使用 securecrt 登陆到服务器, ps 一下,发现有几个异常的程序,如下图一所示,有一个 sendmail 程序,还有一个异 常的 SCREEN程序。肯定是被黑了,有得忙了。 图一: ps –aux 发现的异常进程 用 netstat –an 看一下,发现比较奇怪的端口 1985,还有一个 /dev/gpmctl 的数据流,以前是没有过的。 图二: netstat –an 看到的异常 来到 /var/log 目录下,看一下 secure 日志,这一看,不要紧,一看吓一跳,日志显示,从 10 月 9 号上午 11:01:22 开始一直到 10 月 10 号的凌 晨 03:37:33 期间,不断有用户对机器进行 ssh 的野蛮滥用,而且从日志中可以看到进行弱口令账号测试的不是一台机器,而是来自几台不同的机 器,它们分别是 140.123.230.*( 台湾 ) 211.173.47.* ( 韩国 ) 164.164.149.* ( 印度 ) 210.118.26.* (韩国) 217.199.173.* (英国) 218.5.117.* (福建泉州) 211.90.95.* (江苏联通) 这么多机器进行分布式协作来寻找机器上的弱口令,看来如果要查证源头是比较困难的,难道是僵尸网络中的僵尸机器,而且有一个是福建泉州 的 adsl 拨号账户和江苏联通的用户,要查证的话必然要从它开始查了,呵呵,可惜我不是取证专家,查证的事就放在一旁吧。 图三: /var/log/secure 看到的 ssh 登陆日志 用 last 日志看一下过去的登陆记录,如下图四显示,可以看出从域名 floman2.mediasat 登陆,用 nslookup 查询竟然找不到这个域名。 图四: last 日志 再看看 wtmp 日志, 用 who wtmp 看到如下图五的日志, 这里显示的域名是 floman2.mediasat.ro ,用 nslookup 可以查到域名服务器是位于 罗马尼亚, dns 服务器 ip 为 193.231.170.* 。 图五: who wtmp 看到的日志记录 我们来定位一下在图一中发现的 sendmail 程序的来源,用如下图六中的命令。 图六:找到 sendmail 的来源 发现 sendmail 是位于 /etc/log.d/scripts/service 目录下,应该就是 sendmail 脚本就用来转发所谓的垃圾邮件。只需将这些脚本删除,就可以 解决发送垃圾邮件的问题。但是服务器中有其它异常的进程,被别人 hacking 了,这个解决起来就困难多了。 再来定位一下图一中异常的 screen 程序, 用命令 Lo ca te screen 来定位, 输出如下图所示, 看来有很多文件要查啊。 从图中可以看出, “.screen ” 以. 开始的目录,这应该是一个隐藏的目录。 图七: locate screen 定位 screen 的结果 来到 /home/upload 目录,用 ls 命令看不到,果真是隐藏了。隐藏也没有关系,可以直接进入 .screen 目录。如下图八。 图八:进入 upload 目录,发现里面的子目录都是隐藏的 用 ls -la 发现有很多为 0 字节的文件,如下图十二所示,类型以 p 开头的,这是管道文件,

文档评论(0)

1亿VIP精品文档

相关文档