黑客网络攻防--OJ篇

本来计划每天11点准时睡觉的，谁知道昨晚10点多被浩鹏拉出去喝酒了。那个菜鸡一瓶就倒了，之后我回到宿舍之后异常清醒，还看了两个小时张宇的视频（信宇哥，得永生）。睡醒了之后发现，阿里云盾给了我一个警告，我的服务器对外进行DDOS攻击了！PS:心想，WHAT？真的被挂上木马了。

---

image.png

---

缘由

之前安装一个openlims的时候，为了安装PostgreSQL，我开启了一个postgres的一个用户，并且执行了openlis系统的一个自动装载脚本。过了没多久，服务器密码就被修改了。他直接拿到root权限，十分恐怖，我赶紧去esc控制台改了回来，那时候没有发生什么特殊的情况，我就没有再深入下去了。

---

线索

线索源于木彬在oj上的一个题目的提交，题目是Gdinoj的一道题目。其实题目内容很简单，就是一个建素数表然后再遍历一遍。但是他的代码始终通不过，实在没有办法给我看了一看。我在本地运行也是没有问题，逻辑复杂但是终究是正确的。没有办法，只能直接放到服务器上直接运行，发现了很神奇的事情（GCC版本一致），就是在栈区头指针内容被修改了，也是是代码指针逻辑的问题（因为指针指向实在是有点混乱），也有可能是栈区内存不足的原因导致的。后面没有办法，先让木彬跳过。

image.png

不过，我那时候我看了一下内存，感觉很奇怪，不知道为什么内存只剩下100M都不到。自从新内核搞好了之后，OJ这边就彻底是交给了镇涛跟伦凯了，之前让他们用memcache来处理页加载慢的事情，我那时候怀疑是不是他们的代码导致的这个内存泄漏得如此严重。更诡异的是，这个情况是不间断出现的。后来，我开始怀疑是被人留了后门

image.png

---

高潮

因为也一直在自学黑客技术，希望用手中的利剑惩恶除奸，首先我的目标是那些国内骗人的色情网站。。。以下省略一万字。

故事回到今天早上的事情，首先我top了一下进程，真的是被吓一跳，有一个进程占了CPU99%的资源。

image.png

我们可以从这里得出了两个关键的信息：

1. 是postgres用户/usr/sbin/apach程序导致的这个问题
2. 我们知道这个进程ID（非常重要）
   因为我的经验不足，这里我应该第一时间whereis一下，把这个进程找出来的。后来我直接kill掉了，然后再去找/usr/sbin/apach，真的没有找到这个文件，十分奇怪。（大神请指教，是不是他捕捉了这个信号，在退出的时候把文件删除了？）

---

ok，不管了，因为我有root，我不怕，首先我切换到问题用户，看一下它里面有什么内容。

image.png

Fuck，有一个用于DDOS攻击的python文件，我个人感觉不只这么些东西，我check了黑客的history，他还是留下了踪迹。

image.png

可以看到除了python文件之外，还有一个用于渗透的perl编写的1.txt文件。代码很长，两个文件加起来3千多行，我已经把它收藏到自己的武器库了。

初步分析可以得到，木马是通过postgres这个用户进来的，而postgres肯定是通过openlims的Install.sh脚本里面装载了木马。毋庸置疑，PostgreSQL和postgres用户就是问题所在。

---

解决

1. 首先到了这里还是要让阿里云盾的白名单权限设置得全高先，然后用户都可以访问80端口，但是其他端口就要白名单来做限制。

image.png

现在服务器还是有几个端口暴露了的，但是我已经不允许任何IP的访问这些端口了。之前就是因为PostgreSQL暴露了一个端口导致的问题。

2. 然后要开始干掉那个问题用户和问题进程了，首先是干掉PostgreSQL。

3. 删掉问题用户，不过当我删掉的时候，出现了点问题

image.png

image.png

不明白为啥有新的进程一直使用着这个用户，最后重启了一下之后就删掉了。

4. 担心题库被干掉了，我还是先改权限先。现在这个权限，被入侵了就要跪了！！

---

结语

还有很多事情没有弄明白，感觉事情还远远没有结束。这件事让我对服务器的安全提高了几个档次的认识，真的幸好他并没有把我文件删除，只是让我当肉鸡。哎。

---- 小白成长纪录篇