0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看威廉希尔官方网站 视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

Linux服务器被入侵后的检测过程详细资料分享

5RJg_mcuworld 来源:未知 作者:易水寒 2018-10-20 11:53 次阅读

故事是这样的,大年初一,客户反应他们服务器无法访问,查看路由,发现某oracle+tomcat服务器UDP流量超大,把带宽占完了,过年嘛,客户那边先找了当地的威廉希尔官方网站 人员弄了几天没搞定,然后没办法大年初三的找我们弄…顾客是上帝!

其实吧以前也遇到过这类攻击,当时某IDC都被打瘫了,只不过马儿不在我们的设备上,所以没过多关注…

0×01 查找木马

首先SSH登陆,top查看进程,发现奇怪名字的命令gejfhzthbp,一看就感觉有问题。

lsof–cgejfhzthbp

查看关联文件,发现对外的tcp连接,不知道是不是反向shell…

执行命令

Whereisgejfhzthbp ls-algejfhzthbp

查看文件路径。并查看文件创建时间,与入侵时间吻合。

顺便把文件拷贝下来放到kali虚拟机试了下威力,几秒钟的结果如下…

之前还以为是外国人搞的,这应该能证明是国人搞的了…

0×02 恢复业务

首先kill进程,结果肯定没那么简单,进程换个名字又出来了

中间尝试过很多过程,ps –ef |grep 发现父进程每次不一样,关联进程有时是sshd,有时是pwd,ls,中间装了个VNC连接,然后关闭ssh服务,同样无效,而且kill几次之后发现父进程变成了1 ,水平有限,生产服务器,还是保守治疗,以业务为主吧…

既然被人入侵了,首先还是把防火墙的SSH映射关掉吧,毕竟服务器现在还要用,还是写几条iptables规则吧

iptables-AOUTPUT-olo-jACCEPT

允许本机访问本机

iptables-AOUTPUT-mstate--stateESTABLISHED-jACCEPT

允许主动访问本服务器的请求

iptables-AOUTPUT–ptcp–d192.168.1.235-jACCEPT

允许服务器主动访问的IP白名单

iptables-ADROP

拒绝对外访问

到此,业务恢复正常。

0×03 查找原因

其实原因一开始我就意识到了是SSH的问题,只是先要帮人把业务恢复了再说,web端口方面就只有tomcat的,web漏洞都查过了,什么struts2,manager页面,还有一些常规web漏洞均不会存在,除非有0day…. Oracle也不外连,只有个SSH

基于这一点,我直接查root账户ssh登陆日志,翻啊翻,终于….

cd/var/loglesssecure

如上图,使用印尼IP爆破成功,而后面服务器内网IP登陆竟然是失败,问了客户,算是明白了怎么回事,他们年底加设备,给服务器临时改了弱密码方便各种第三方威廉希尔官方网站 人员调试,然后估计忘了改回来,结果悲剧了,被坏人登陆了不说,root密码还被改,自己都登不上…不知道他们老板知不知道…

继续查看history文件,看人家都干了些什么。

坏人的操作过程基本就在这里了,他执行了好多脚本,谁知道他干了多少事,还是建议客户重装系统吧…

0×04 后记

主要还是自己经验尚浅,linux运维玩的不熟,不知道怎么把马儿彻底赶出去…大牛勿喷。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • Linux
    +关注

    关注

    87

    文章

    11296

    浏览量

    209361
  • 服务器
    +关注

    关注

    12

    文章

    9129

    浏览量

    85348
  • UDP
    UDP
    +关注

    关注

    0

    文章

    325

    浏览量

    33933

原文标题:经验:记一次Linux服务器被入侵后的检测过程!

文章出处:【微信号:mcuworld,微信公众号:嵌入式资讯精选】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    京准电钟:GPS时钟服务器(NTP授时服务器资料详细介绍书

    京准电钟:GPS时钟服务器(NTP授时服务器资料详细介绍书 京准电钟:GPS时钟服务器(NTP授时服务
    发表于 06-18 14:52

    光盘镜像服务器详细资料

    光盘镜像服务器详细资料   1. 光盘镜像服务器      
    发表于 01-13 11:37 760次阅读

    入侵服务器的症状分析与应对方法

    本指南中所谓的服务器入侵或者说被黑了的意思,是指未经授权的人或程序为了自己的目的登录到服务器上去并使用其计算资源,通常会产生不好的影响。
    的头像 发表于 12-25 10:26 3801次阅读

    解析Linux如何判断自己的服务器是否入侵检测方法

    如何判断自己的服务器是否入侵了呢?仅仅靠两只手是不够的,但两只手也能起到一些作用,我们先来看看UNIX系统上一些入侵检测方法,以
    的头像 发表于 01-13 10:27 6003次阅读

    客户机和服务器的程序及生成文件的详细资料免费下载

    本文档的主要内容详细介绍的是客户机和服务器的程序及生成文件的详细资料免费下载。
    发表于 10-12 14:43 6次下载
    客户机和<b class='flag-5'>服务器</b>的程序及生成文件的<b class='flag-5'>详细资料</b>免费下载

    如何在Linux下如何删除大量文件的详细资料概述

    本文档的主要内容详细介绍的是如何在Linux下删除大量文件的过程详细资料概述免费下载。
    发表于 11-14 17:10 7次下载

    嵌入式教程之Linux的基础命令详细资料说明

    本文档的主要内容详细介绍的是嵌入式教程之Linux的基础命令详细资料说明主要内容包括了:1.Linux常用命令2 Linux启动
    发表于 12-06 17:31 8次下载
    嵌入式教程之<b class='flag-5'>Linux</b>的基础命令<b class='flag-5'>详细资料</b>说明

    Java程序设计教程之Java WEB服务器端编程的详细资料说明

    本文档详细介绍的是Java程序设计教程之Java WEB服务器端编程的详细资料说明主要内容包括了:1 Java Web服务器介绍,2 Servlet介绍,3 JSP介绍,4 Strut
    发表于 02-22 10:28 11次下载
    Java程序设计教程之Java WEB<b class='flag-5'>服务器</b>端编程的<b class='flag-5'>详细资料</b>说明

    如何搭建Linux服务器详细资料说明

    本文档的主要内容详细介绍的是如何搭建Linux服务器详细资料说明主要内容包括了:1、搭建telnet服务器,2、搭建DHCP
    发表于 04-18 08:00 10次下载
    如何搭建<b class='flag-5'>Linux</b><b class='flag-5'>服务器</b>的<b class='flag-5'>详细资料</b>说明

    LabVIEW的VI服务器详细资料说明

    本文档的主要内容详细介绍的是LabVIEW的VI服务器详细资料说明。
    发表于 07-16 08:00 20次下载
    LabVIEW的VI<b class='flag-5'>服务器</b><b class='flag-5'>详细资料</b>说明

    MSSQL数据库服务器的命令查看存储过程详细资料说明

    本文档的主要内容详细介绍的是MSSQL数据库服务器的命令查看存储过程详细资料说明。
    发表于 11-01 17:29 10次下载

    Linux服务器入侵导致冻结的过程

    来自:看雪论坛,作者:Hefe https://bbs.pediy.com/thread-225163.htm 不一会运维的同事也到了,气喘吁吁的说:我们有台服务器阿里云冻结了,理由:对外恶意发包
    的头像 发表于 09-01 16:11 3210次阅读

    如何鉴别Linux服务器是否入侵

    随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考。
    的头像 发表于 03-16 10:08 1298次阅读

    服务器入侵挖矿的过程与解决方法

    常在河边走,哪能不湿鞋。自认为安全防范意识不错,没想到服务器入侵挖矿的事情也能落到自己头上。
    的头像 发表于 07-22 16:47 6789次阅读

    termius如何使用,termius如何使用的过程,linux服务器远程连接的实用教程

            随着威廉希尔官方网站 的不断进步,服务器远程连接威廉希尔官方网站 也在不断提升其性能和安全性,以满足企业日益增长的需求。本文将和大家一起讨论termius如何使用的过程以及Linux远程桌面
    的头像 发表于 12-19 11:31 77次阅读
    termius如何使用,termius如何使用的<b class='flag-5'>过程</b>,<b class='flag-5'>linux</b><b class='flag-5'>服务器</b>远程连接的实用教程