一、記一次Linux伺服器被入侵後的檢測過程
文章來之網絡整理,《記一次Linux伺服器被入侵後的檢測過程》轉載至http://mageedu.blog.51cto.com/4265610/1901543
0×00 前言
故事是這樣的,大年初一,客戶反應他們伺服器無法通路,檢視路由,發現某oracle+tomcat伺服器UDP流量超大,把帶寬占完了,過年嘛,客戶那邊先找了當地的技術人員弄了幾天沒搞定,然後沒辦法大年初三的找我們弄…顧客是上帝!
其實吧以前也遇到過這類攻擊,當時某IDC都被打癱了,隻不過馬兒不在我們的裝置上,是以沒過多關注…
0×01 查找木馬
首先SSH登陸,top檢視程序,發現奇怪名字的指令gejfhzthbp,一看就感覺有問題。
lsof –c gejfhzthbp
檢視關聯檔案,發現對外的tcp連接配接,不知道是不是反向shell…
執行指令
Whereis gejfhzthbp ls -al gejfhzthbp
檢視檔案路徑。并檢視檔案建立時間,與入侵時間吻合。
順便把檔案拷貝下來放到kali虛拟機試了下威力,幾秒鐘的結果如下…
之前還以為是外國人搞的,這應該能證明是國人搞的了…
0×02 恢複業務
首先kill程序,結果肯定沒那麼簡單,程序換個名字又出來了
中間嘗試過很多過程,ps –ef |grep 發現父程序每次不一樣,關聯程序有時是sshd,有時是pwd,ls,中間裝了個VNC連接配接,然後關閉ssh服務,同樣無效,而且kill幾次之後發現父程序變成了1,水準有限,生産伺服器,還是保守治療,以業務為主吧…
既然被人入侵了,首先還是把防火牆的SSH映射關掉吧,畢竟伺服器現在還要用,還是寫幾條iptables規則吧
iptables -A OUTPUT -o lo -j ACCEPT
允許本機通路本機
iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
允許主動通路本伺服器的請求
iptables -A OUTPUT –p tcp –d 192.168.1.235 -jACCEPT
允許伺服器主動通路的IP白名單
iptables -A DROP
拒絕對外通路
到此,業務恢複正常。
0×03 查找原因
其實原因一開始我就意識到了是SSH的問題,隻是先要幫人把業務恢複了再說,web端口方面就隻有tomcat的,web漏洞都查過了,什麼struts2,manager頁面,還有一些正常web漏洞均不會存在,除非有0day…. Oracle也不外連,隻有個SSH
基于這一點,我直接查root賬戶ssh登陸日志,翻啊翻,終于….
cd /var/log less secure
如上圖,使用印尼IP爆破成功,而後面伺服器内網IP登陸竟然是失敗,問了客戶,算是明白了怎麼回事,他們年底加裝置,給伺服器臨時改了弱密碼友善各種第三方技術人員調試,然後估計忘了改回來,結果悲劇了,被壞人登陸了不說,root密碼還被改,自己都登不上…不知道他們老闆知不知道…
繼續檢視history檔案,看人家都幹了些什麼。
壞人的操作過程基本就在這裡了,他執行了好多腳本,誰知道他幹了多少事,還是建議客戶重裝系統吧…
0×04 後記
主要還是自己經驗尚淺,linux運維玩的不熟,不知道怎麼把馬兒徹底趕出去…大牛勿噴。
二、Linux伺服器被入侵和删除木馬程式的經曆
一、背景
晚上看到有台伺服器流量跑的很高,明顯和平常不一樣,流量達到了800Mbps,第一感覺應該是中木馬了,被人當做殭屍電腦了,在大量發包。
我們的伺服器為了最好性能,防火牆(iptables)什麼的都沒有開啟,但是伺服器前面有實體防火牆,而且機器都是做的端口映射,也不是常見的端口,按理來說應該是滿安全的,可能最近和木馬有緣吧,老是讓我遇到,也趁這次機會把發現過程記錄一下。
二、發現并追蹤處理
1、檢視流量圖發現問題
檢視的時候網頁非常卡,有的時候甚至沒有響應。
2、top動态檢視程序
我馬上遠端登入出問題的伺服器,遠端操作很卡,網卡出去的流量非常大,通過top發現了一個異常的程序占用資源比較高,名字不仔細看還真以為是一個Web服務程序。
3、ps指令檢視程序的路徑
發現這個程式檔案在/etc目錄下面,是個二進制程式,我拷貝了下來,放到了本文附近位置,以供大家在虛拟機上面研究,哈哈。
4、結束異常程序并繼續追蹤
幹掉程序之後,流量立刻下來了,遠端也不卡頓了,難道删掉程式檔案,幹掉異常程序我們就認為處理完成了麼?想想也肯定沒那麼簡單的,這個是木馬啊,肯定還會自己生成程式檔案(果然不出我所料,在我沒有搞清楚之前,後面确實又生成了)我們得繼續追查。
5、檢視登入記錄及日志檔案secure
通過指令last檢視賬戶登入記錄,一切正常。檢視系統檔案message并沒有發現什麼,但是當我檢視secure檔案的時候發現有些異常,反正是和認證有關的,應該是嘗試連進來控制發包?
6、再次ps檢視程序
其實第一次ps的時候就有這個問題,那時候沒有發現,第二次是自習檢視每個程序,自習尋找不太正常的程序,發現了一個奇怪的ps程序。
我找了一台正常的機器,檢視了一下ps指令的大小,正常的大約是81KB,然後這台機器上面的ps卻高達1.2M,指令檔案肯定是被替換了。
然後進入另一個ps的目錄,看到有如下幾個指令,然後我有查詢了一下系統的這幾個指令,發現都變得很大,都達到了1.2M,這些系統指令檔案肯定是都被替換了。
7、更多異常檔案的發現
檢視定時任務檔案crontab并沒有發現什麼一次,然後檢視系統啟動檔案rc.local,也沒有什麼異常,然後進入/etc/init.d目錄檢視,發現比較奇怪的腳本檔案DbSecuritySpt、selinux。
第一個檔案可以看出他就是開機啟動那個異常檔案的,第二個應該和登入有關,具體我還不是很清楚,反正肯定是有問題的。
既然和登入有關,那就找和ssh相關的,找到了下面的一個檔案,是隐藏檔案,這個也是木馬檔案,我們先記錄下來,這樣程式名字都和我們的服務名字很相近,就是為了迷惑我們,他們的大小都是1.2M,他們有可能是一個檔案。
我有看了一下木馬喜歡出現的目錄/tmp,也發現了異常檔案,從名字上感覺好像是監控木馬程式的。
想到這裡,替換的指令應該很多,單靠我們去找肯定是解決不了的,我的建議最好是重裝作業系統,并做好安全政策,如果不重裝,我下面給一下我的方法,具體行不行有待驗證。
三、木馬手動清除
現在綜合總結了大概步驟如下:
1、簡單判斷有無木馬
2、上傳如下指令到/root下
3、删除如下目錄及檔案
4、找出異常程式并殺死
5、删除含木馬指令并重新安裝(或者把上傳的正常程式複制過去也行)
我自己重新安裝好像不行,我是找的正常的機器複制的指令。
四、殺毒工具掃描
1、安裝殺毒工具clamav
2、啟動服務
3、更新病毒庫
由于ClamAV不是最新版本,是以有告警資訊。可以忽略或更新最新版本。
4、掃描方法
可以使用clamscan -h檢視相應的幫助資訊
5、檢視日志發現
把發現的指令删掉替換正常的
附錄:Linux.BackDoor.Gates.5
經過查詢資料,這個木馬應該是Linux.BackDoor.Gates.5,找到一篇檔案,内容具體如下:
某些使用者有一種根深蒂固的觀念,就是目前沒有能夠真正威脅Linux核心作業系統的惡意軟體,然而這種觀念正在面臨越來越多的挑戰。與4月相比,2014年5月Doctor Web公司的技術人員偵測到的Linux惡意軟體數量創下了新紀錄,六月份這些惡意軟體名單中又增加了一系列新的Linux木馬,這一新木馬家族被命名為Linux.BackDoor.Gates。
在這裡描述的是惡意軟體家族Linux.BackDoor.Gates中的一個木馬:Linux.BackDoor.Gates.5,此惡意軟體結合了傳統後門程式和DDoS攻擊木馬的功能,用于感染32位Linux版本,根據其特征可以斷定,是與Linux.DnsAmp和Linux.DDoS家族木馬同出于一個病毒編寫者之手。新木馬由兩個功能子產品構成:基本子產品是能夠執行不法分子所發指令的後門程式,第二個子產品在安裝過程中儲存到硬碟,用于進行DDoS攻擊。Linux.BackDoor.Gates.5在運作過程中收集并向不法分子轉發受感染電腦的以下資訊:
CPU核數(從/proc/cpuinfo讀取)。
CPU速度(從/proc/cpuinfo讀取)。
CPU使用(從/proc/stat讀取)。
Gate'a的 IP(從/proc/net/route讀取)。
Gate'a的MAC位址(從/proc/net/arp讀取)。
網絡接口資訊(從/proc/net/dev讀取)。
網絡裝置的MAC位址。
記憶體(使用/proc/meminfo中的MemTotal參數)。
發送和接收的資料量(從/proc/net/dev讀取)。
作業系統名稱和版本(通過調用uname指令)。
啟動後,Linux.BackDoor.Gates.5會檢查其啟動檔案夾的路徑,根據檢查得到的結果實作四種行為模式。
如果後門程式的可執行檔案的路徑與netstat、lsof、ps工具的路徑不一緻,木馬會僞裝成守護程式在系統中啟動,然後進行初始化,在初始化過程中解壓配置檔案。配置檔案包含木馬運作所必須的各種資料,如管理伺服器IP位址和端口、後門程式安裝參數等。
根據配置檔案中的g_iGatsIsFx參數值,木馬或主動連接配接管理伺服器,或等待連接配接:成功安裝後,後門程式會檢測與其連接配接的站點的IP位址,之後将站點作為指令伺服器。
木馬在安裝過程中檢查檔案/tmp/moni.lock,如果該檔案不為空,則讀取其中的資料(PID程序)并“幹掉”該ID程序。然後Linux.BackDoor.Gates.5會檢查系統中是否啟動了DDoS子產品和後門程式自有程序(如果已啟動,這些程序同樣會被“幹掉”)。如果配置檔案中設定有專門的标志g_iIsService,木馬通過在檔案/etc/init.d/中寫入指令行#!/bin/bash\n<path_to_backdoor>将自己設為自啟動,然後Linux.BackDoor.Gates.5建立下列符号連結:
如果在配置檔案中設定有标志g_bDoBackdoor,木馬同樣會試圖打開/root/.profile檔案,檢查其程序是否有root權限。然後後門程式将自己複制到/usr/bin/bsd-port/getty中并啟動。在安裝的最後階段,Linux.BackDoor.Gates.5在檔案夾/usr/bin/再次建立一個副本,命名為配置檔案中設定的相應名稱,并取代下列工具:
木馬以此完成安裝,并開始調用基本功能。
執行另外兩種算法時木馬同樣會僞裝成守護程序在被感染電腦啟動,檢查其元件是否通過讀取相應的.lock檔案啟動(如果未啟動,則啟動元件),但在儲存檔案和注冊自啟動時使用不同的名稱。
與指令伺服器設定連接配接後,Linux.BackDoor.Gates.5接收來自伺服器的配置資料和僵屍電腦需完成的指令。按照不法分子的指令,木馬能夠實作自動更新,對指定IP位址和端口的遠端站點發起或停止DDoS攻擊,執行配置資料所包含的指令或通過與指定IP位址的遠端站點建立連接配接來執行其他指令。
此後門程式的主要DDoS攻擊目标是中國的伺服器,然而不法分子攻擊對象也包括其他國家。下圖為利用此木馬進行的DDoS攻擊的地理分布:
三、linux如今後處理實戰
事件背景
作業系統:Ubuntu12.04_x64
運作業務:公司業務系統,爬蟲程式,資料隊列。
伺服器托管在外地機房。
突然,頻繁收到一組伺服器ping監控不可達郵件,趕緊登陸zabbix監控系統檢視流量狀況。
可見流量已經達到了800M左右,肯定不正常!
馬上嘗試SSH登陸系統,不幸的是,這種情況是很難登入系統的。
該怎麼辦?
1、排查問題
當時我的第一反應是想馬上切斷外部網絡,通過内網連接配接檢視。
可是這樣一來流量就會消失,也就很難查找攻擊源了。
于是聯系機房協助解決,授權機房技術登入到系統:
首先通過w指令檢視是否有異常使用者在登入;
再檢視登入日志/var/log/auth.log,預料之中,日志已經清空;
最後使用iftop工具找出占用大量流量的連接配接。
下圖是機房技術給我拍的照:
可以看到本地一直通過http方式向104.31.225.6這個ip發送資料包,而且持續不斷。
那好,先把這個ip給屏蔽了試試:
iptables –A OUTPUT –d 104.31.225.6 –j DROP
哇塞!奇迹出現了,流量下去了,能正常連接配接了。
過一會兒,不幸的事情發生了,流量又上來了!
什麼情況!我的心情頓時緊張起來。
又趕緊聯系機房技術,執行上次的操作。
下圖是當時的情況:
傻眼了,目的ip變了,這可咋搞,不可能一個個封吧!
靜下心來,仔細想了下,本地向外發包,那本地肯定會有程式來發!
找到本地程式就能解決了!
2、查找攻擊源
首先我使用了netstat工具過濾端口,檢視運作的程序ID:
netstat –atup |grep 15773
沒有任何結果,更換端口嘗試後仍然沒有結果。
拜托機房技術大哥觀察了下連接配接狀态,原來是短連接配接,會很快的釋放端口,是以才看不到端口的連接配接狀态。
正常長連接配接來說,可以使用lsof –i :15773這樣方式找到PID,再lsof –p PID找到打開的相關檔案。
好吧!隻好先切斷外部網絡,内網SSH進入系統,然後找到這個發包的程式。
第一步:通過netstat –antup 檢視有無開放可疑的端口或者連接配接。
第二步:通過ps –ef檢視有無可疑的程序。
結果是~
都沒有!
難道是植入了rootkit木馬程式?!
想要判斷系統有沒有植入了rootkit可以使用md5sum校驗執行檔案判斷:
先找個同版本作業系統,擷取到這個工具執行檔案的md5值,再擷取可疑的工具執行檔案md5值,比較兩個值是否相同。
如果相同說明這個工具是可信任的,如果不相同很有可能是被替換的。
另外,一般工具可執行檔案大小都在幾十K到幾百K。
但我沒有選擇用md5方式來判斷工具是否可信任,因為完全相同版本的作業系統并不好找。
我直接使用du –sh /bin/lsof檢視,發現大小1.2M,明顯有問題。
是以直接下載下傳正常系統裡的netstat、ps等工具上傳到被黑的系統裡使用,再将不可用的替換掉。
3、清理木馬程式
完成第二步的操作後,奇迹出現了,執行ps –ef後,發下最下面有幾行可疑程式。
本想截圖的,可惜SSH用戶端給關了,沒留下截圖。
記憶中,大概是這樣的:
pid /sbin/java.log
pid /usr/bin/dpkgd/ps –ef
pid /usr/bin/bsd-port/getty
pid /usr/bin/.sshd
看到這幾個,感覺很奇怪,怎麼會有個java.log的執行檔案在運作呢?
先殺掉并删除再說。
這裡就更奇怪了,怎麼會有我執行的指令呢?
ps –ef,指令的路徑不是/bin/ps,引起了我的懷疑,馬上進入此目錄下檢視。
擦,還有幾個,初步判斷是工具被替換了。
還有一個怎麼叫getty呢,再正常系統裡面對比程序,發現沒有這個。
甯可錯殺一百,也不放過一個!
殺掉程序,删除目錄。
這個.sshd程序明顯很可疑,可能是ssh後門,先殺掉删除再說!
再執行ps –ef指令看下,奇怪,java.log程序又起來了,難道有自啟動設定?
于是到了/etc/init.d下檢視,有個異常腳本,在正常系統的也沒有,打開看了下,果然是啟動木馬程式的腳本。
把腳本删除,再删除一次java.log,不再出現了。
删除了/sbin/java.log檔案過一會又出現了,估計是getty趁搞的鬼,同樣清除,不再自動生成了。
好了,可以開啟外網了,觀察了一會網絡流量不再飙升了,心情有如看到美女一樣的愉快!
4、事件總結
ls /usr/bin/dpkgd/ #替換的工具,系統自帶的工具正常不會在這個目錄下,并且也不可用
netstat lsof ps ss
/sbin/java.log #判斷是發包程式,删除後會自動生成
/usr/bin/bsd-port #判斷是自動生成java.log或着後門程式
/usr/sbin/.sshd #判斷是後門程式
如果還有其他木馬程式怎麼辦?如果是XSS攻擊,應用層漏洞入侵怎麼辦?
針對這些問題,從我們公司角度來說,盡量不重裝系統,業務太複雜。找出入侵點,跑的程式多,攻擊面多,很棘手。
就先這樣吧!兵來将擋,水來土掩。~
被黑客趁機入侵的原因:
1. 運維對網絡安全實施落實力度低
2. 沒有相關安全測試人員,不能及時發現應用層漏洞
等等...
針對這次攻擊,總結了下防護思路:
1. linux系統安裝後,啟用防火牆,隻允許信任源通路指定服務,删除不必要的使用者,關閉不必要的服務等。
2. 收集日志,包括系統日志,登入日志,程式日志等,及時發現潛在風險。
3. 針對使用者登入實時收集,包括登入時間,密碼重試次數以及使用者執行指令記錄等。
4. 對敏感檔案或目錄變化進行事件監控,如/etc/passwd、/etc/shadow、/web、/tmp(一般上傳檔案提權用)等。
5. 程序狀态監控,對新增或可疑程序做好記錄并通知。
6. 對上線的伺服器系統、Web程式程序安全漏洞掃描。
最後,沒有絕對的安全,隻有盡可能減少攻擊面,提供系統防護能力。
網絡安全,從我做起!
本文轉自 運維小當家 51CTO部落格,原文連結:http://blog.51cto.com/solin/1903543,如需轉載請自行聯系原作者