2. 程式人生 > >Linux伺服器被黑遭敲詐,3小時緊急逆襲!

Linux伺服器被黑遭敲詐,3小時緊急逆襲!

阿新 發佈:2018-12-27

作者介紹

陳浩,北信源研發工程師,五年Linux運維工作經驗,熱衷運維技術研究、實踐和團隊分享。

1.起因

本來在家正常休息了,我們放在上海託管機房的線上伺服器突然崩了遠端不了,服務啟動不了,然後讓上海機房重啟了一次,還是直接掛了,一直到我遠端上才行。

2.現象

遠端伺服器發現出現這類資訊

Hi, please view: http://pastie.org/pastes/10800563/text?key=hzzm4hk4ihwx1jfxzfizzq for further information in regards to your files!
Hi, please view: http://pastie.org/pastes/10800563/text?key=hzzm4hk4ihwx1jfxzfizzq for further information in regards to your files!
Hi, please view: http://pastie.org/pastes/10800563/text?key=hzzm4hk4ihwx1jfxzfizzq for further information in regards to your files!
Hi, please view: http://pastie.org/pastes/10800563/text?key=hzzm4hk4ihwx1jfxzfizzq for further information in regards to your files!
Hi, please view: http://pastie.org/pastes/10800563/text?key=hzzm4hk4ihwx1jfxzfizzq for further information in regards to your files!
Hi, please view: http://pastie.org/pastes/10800563/text?key=hzzm4hk4ihwx1jfxzfizzq for further information in regards to your files!

登入資訊,然後翻牆去了國外網站檢視

Linux

這個意思大概是:

問候,
你的伺服器被黑客攻擊和你的檔案已經被刪除了。
他們被刪除之前,我們支援我們的伺服器控制。
你必須傳送總共3 BTC地址:1 b1ou6edreyffif3*******
不這麼做將導致檔案被刪除後5天。
我們也可能洩露你的檔案。

你可以通過電子郵件與[email protected]聯絡。我們不會提供任何檔案之前付款。
再見!

3.開始排查

首先檢查日誌,以前做過安全運維,所以寫過類似於檢查命令和工具,開始一一排查。

#檢視是否為管理員增加或者修改
find / -type f -perm 4000
#顯示檔案中檢視是否存在系統以外的檔案
rpm -Vf /bin/ls
rpm -Vf /usr/sbin/sshd
rpm -Vf /sbin/ifconfig
rpm -Vf /usr/sbin/lsof
#檢查系統是否有elf檔案被替換
#在web目錄下執行
grep -r “getRuntime” ./
#檢視是否有木馬
find . -type f -name “*.jsp” | xargs grep -i  “getRuntime”
#執行的時候被連線或者被任何程式呼叫
find . -type f -name “*.jsp” | xargs grep -i  “getHostAddress”
#返回ip地址字串
find . -type f -name “*.jsp” | xargs grep -i  “wscript.shell”
#建立WshShell物件可以執行程式、操作登錄檔、建立快捷方式、訪問系統資料夾、管理環境變數
find . -type f -name “*.jsp” | xargs grep -i  “gethostbyname”
#gethostbyname()返回對應於給定主機名的包含主機名字和地址資訊的hostent結構指標
find . -type f -name “*.jsp” | xargs grep -i  “bash”
#呼叫系統命令提權
find . -type f -name “*.jsp” | xargs grep -i  “jspspy”
#Jsp木馬預設名字
find . -type f -name “*.jsp” | xargs grep -i  “getParameter”
fgrep – R “admin_index.jsp” 20120702.log > log.txt
#檢查是否有非授權訪問管理日誌
#要進中介軟體所在日誌目錄執行命令
fgrep – R “and1=1″*.log>log.txt
fgrep – R “select “*.log>log.txt
fgrep – R “union “*.log>log.txt
fgrep – R “../../”*.log >log.txt
fgrep – R “Runtime”*.log >log.txt
fgrep – R “passwd”*.log >log.txt
#檢視是否出現對應的記錄
fgrep – R “uname -a”*.log>log.txt
fgrep – R “id”*.log>log.txt
fgrep – R “ifconifg”*.log>log.txt
fgrep – R “ls -l”*.log>log.txt
#檢視是否有shell攻擊
#以root許可權執行
cat /var/log/secure
#檢視是否存在非授權的管理資訊
tail -n 10  /var/log/secure
last cat /var/log/wtmp
cat /var/log/sulog
#檢視是否有非授權的su命令
cat /var/log/cron
#檢視計劃任務是否正常
tail -n 100 ~./bash_history | more
檢視臨時目錄是否存在攻擊者入侵時留下的殘餘檔案
ls -la /tmp
ls -la /var/tmp
#如果存在.c .py .sh為字尾的檔案或者2進位制elf檔案。
IP地址
檢查出有點類似於黑客的IP,只能猜測然後檢視IP地址過濾出這個IP的訪問資訊並檢視IP地址是那邊的。
Apr 17 03:14:56 localhost sshd[11499]: warning: /etc/hosts.deny, line 14: missing “:” separator
Apr 17 03:15:01 localhost sshd[11499]: Address 46.214.146.198 maps to 46-214-146-198.next-gen.ro, but this does not map back to the address – POSSIBLE BREAK-IN ATTEMPT!
Apr 17 03:15:01 localhost sshd[11499]: Invalid user ubnt from 46.214.146.198
Apr 17 03:15:01 localhost sshd[11500]: input_userauth_request: invalid user ubnt
Apr 17 03:15:01 localhost sshd[11499]: pam_unix(sshd:auth): check pass; user unknown
Apr 17 03:15:01 localhost sshd[11499]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=46.214.146.198 
Apr 17 03:15:01 localhost sshd[11499]: pam_succeed_if(sshd:auth): error retrieving information about user ubnt
Apr 17 03:15:03 localhost sshd[11499]: Failed password for invalid user ubnt from 46.214.146.198 port 34989 ssh2
Apr 17 03:15:03 localhost sshd[11500]: Connection closed by 46.214.146.198
就是他了,檢視歷史記錄。日誌發現 Invalid user ubnt from 46.214.146.198。

歷史記錄和相關訪問日誌已經被刪除,痕跡清除。

安裝chrootkit檢查是否有rootkit
mkdir chrootkit
cd chrootkit/
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar zxvf chkrootkit.tar.gz 
cd chkrootkit-0.50/
ls
yum install -y glibc-static
make sense
./chkrootkit
發現檢查沒有異常

開啟 vi /etc/motd 發現

[[email protected] ~]# vi /etc/motd 
Hi, please view: http://pastie.org/pastes/10800563/text?key=hzzm4hk4ihwx1jfxzfizzq for further information in regards to your files!
Hi, please view: http://pastie.org/pastes/10800563/text?key=hzzm4hk4ihwx1jfxzfizzq for further information in regards to your files!
Hi, please view: http://pastie.org/pastes/10800563/text?key=hzzm4hk4ihwx1jfxzfizzq for further information in regards to your files!
Hi, please view: http://pastie.org/pastes/10800563/text?key=hzzm4hk4ihwx1jfxzfizzq for further information in regards to your files!
Hi, please view: http://pastie.org/pastes/10800563/text?key=hzzm4hk4ihwx1jfxzfizzq for further information in regards to your files!
Hi, please view: http://pastie.org/pastes/10800563/text?key=hzzm4hk4ihwx1jfxzfizzq for further information in regards to your files!
查找不出後門也找不到相關命令,感覺思路受損,暈頭轉向。最後查詢下當天的Web訪問日誌和相關IP訪問。

發現一條命令讓我好奇,GET /cgi-bin/center.cgi?id=20 HTTP/1.1。

並且有點異常

漏洞

發現像目前最流行的bash shell 漏洞,測試一下,果然存在漏洞。

4.修復升級命令

yum -y install yum-downloadonly

yum -y install bash-4.1.2-33.el6_7.1.x86_64.rpm

[[email protected] tmp]# yum -y install bash-4.1.2-33.el6_7.1.x86_64.rpm

已載入外掛:fastestmirror,security

設定安裝程序

診斷 bash-4.1.2-33.el6_7.1.x86_64.rpm: bash-4.1.2-33.el6_7.1.x86_64

bash-4.1.2-33.el6_7.1.x86_64.rpm 將作為 bash-4.1.2-15.el6_4.x86_64 的更新

Loading mirror speeds from cached hostfile

* base: ftp.sjtu.edu.cn

* extras: mirrors.skyshe.cn

* updates: ftp.sjtu.edu.cn

解決依賴關係

–> 執行事務檢查

—> Package bash.x86_64 0:4.1.2-15.el6_4 will be 升級

—> Package bash.x86_64 0:4.1.2-33.el6_7.1 will be an update

–> 完成依賴關係計算

依賴關係解決

================================

總檔案大小:3.0 M

下載軟體包:

執行 rpm_check_debug

執行事務測試

事務測試成功

執行事務

正在升級   : bash-4.1.2-33.el6_7.1.x86_64

清理 : bash-4.1.2-15.el6_4.x86_64

Verifying  : bash-4.1.2-33.el6_7.1.x86_64

Verifying  : bash-4.1.2-15.el6_4.x86_64

更新完畢:

bash.x86_64 0:4.1.2-33.el6_7.1

完畢!

重新測試

[[email protected] tmp]# env x='() { :;}; echo vulnerable’ bash -c “echo this is a test”

this is a test

5.完成後做了如下措施

  1. 修改了系統賬號密碼;
  2. 修改了sshd埠為2220;
  3. 修改Nginx使用者nologin;
  4. 發現系統伺服器存在bash嚴重漏洞 破殼漏洞(Shellshock)並修復;
  5. 更新完成後沒有發現被入侵或者伺服器自動宕機現象。

6.漏洞被利用過程

我傳送GET請求–>目標伺服器cgi路徑

目標伺服器解析這個get請求,碰到UserAgent後面的引數,Bash直譯器就執行了後面的命令。

7.Shellshock介紹

Shellshock,又稱Bashdoor,是在Unix中廣泛使用的Bash shell中的一個安全漏洞,首次於2014年9月24日公開。許多網際網路守護程序,如網頁伺服器,使用bash來處理某些命令,從而允許攻擊者在易受攻擊的Bash版本上執行任意程式碼。這可使攻擊者在未授權的情況下訪問計算機系統。

相關推薦

Linux伺服器敲詐3小時緊急

作者介紹 陳浩,北信源研發工程師,五年Linux運維工作經驗,熱衷運維技術研究、實踐和團隊分享。 1.起因 本來在家正常休息了,我們放在上海託管機房的線上伺服器突然崩了遠端不了,服務啟動不了,然後讓上海機房重啟了一次,還是直接掛了,一直到我遠端上才行。 2.現象 遠端伺服器發現出現這類資訊 Hi, 

電子商務知識精華屌絲完美

何為電子商務? 電子商務源於英文ELECTRONIC COMMERCE,簡寫為EC。顧名思義,其內容包含兩方面,一是電子方式,二是商貿活動。指商務活動的電子化、網路化,通過Internet的技術或各種商務網路平臺,完成商務交易,獲得產品和服務。 1)優點:品種齊全,種類繁多,一站購物,電子支付,市

Excel中對可見資料求和SUBTOTAL函式完美

使用篩選功能時,如果使用常規的sum函式求和,那些被隱藏的行也被被計算進去,得到的是所有資料的總計。 一、為什麼要留個空行? 有人要問了,為什麼第14行為空行呢,因為如果沒有這個空行,在篩選時合計會被隱藏,所以這個空行是要留的。 二、篩選問題? 這個時候我們想求財

Linux伺服器黑客攻擊安全檢查方法

一、檢查系統密碼檔案,檢視檔案修改日期 # ls -l /etc/passwd   二、檢視 passwd 檔案中有哪些特權使用者 # awk -F: '$3==0 {print $1}' /etc/passwd   三、檢視系統裡有沒有空口令帳戶 #

伺服器挖礦入侵程序 command為ld-linux-x86-64佔用cpu很高

測試伺服器看到 ld-linux-x86-64的程序佔用cpu極高,user 是 mysql 的。 測試環境不會有這麼高的mysql負載,並且記憶體佔用基本為0。區塊鏈技術盛行,讓人不得不懷疑被抓去做礦機了。 初步排查 [[email protected]

Linux.org 攻擊者留下“菊花”警告

   Linux.org 昨日遭到惡意 DNS 劫持,攻擊者將其指向了一個新的頁面,上面包含一些非常粗俗的內容以表達自己對 Linux 社群和 Linux 此前制定的行為準則的不滿。 Linux.org 並不是 Linux 基金會的官方網站,它將自己描述為“一個友好的社群,人

每一個工程師都要學的安全測試老闆再也不用擔心伺服器

本文由雲+社群發表 本篇包含了XSS漏洞攻擊及防禦詳細介紹,包括漏洞基礎、XSS基礎、編碼基礎、XSS Payload、XSS攻擊防禦。 第一部分:漏洞攻防基礎知識 XSS屬於漏洞攻防,我們要研究它就要了解這個領域的一些行話,這樣才好溝通交流。同時我建立了一個簡易的攻擊模型用於XSS漏洞學

Linux.org攻擊者留下“菊花”警告

今天,linux.org被黑客攻擊,且網站內被植入了不堪入目的圖片。 linux.org在國外社交媒體上釋出了兩條公告,第一條公告表示,該問題看上去是因為DNS被攻擊,很快發起調查,關閉了我們的生產環境以確保資料安全。第二條公告稱,黑客進入了合作伙伴的賬號,並且說黑客是“指令碼小子”,

【漏洞預警】微信支付SDK存在嚴重漏洞可導致0元支付或商家伺服器

XXE (XML External Entity Injection) 漏洞發生在應用程式解析 XML 輸入時,沒有禁止外部實體的載入。是一種針對使用XML互動的Web應用程式的攻擊方法。 受影響版本:
 JAVA

linux伺服器掛馬ps命令netstat命令挾持替換成其他程式

公司一套hadoop叢集,裝的CDH CM,被掛馬了,動不動就特別卡,流量佔用特別高。當初為了方便,裸在公網上了。而且密碼還簡單,這下是血的教訓了。雖然上面已經同意了全部重灌了,但是本屌有點不甘心,想了解該病毒的老窩在哪。下面會一些資訊,分享給大家。 問題現象,lin

Linux伺服器上執行jar包並且使jar包一直處於後臺執行

1.我jar包在linux的目錄為/a/bbb.jar         正常情況下,使用在/a目錄下使用  java -jar bbb.jar 可以直接執行該jar包的專案,執行成功之後使用crtl+c可以退出專案執行,

linux 伺服器植入ddgs、qW3xT.2挖礦病毒處理記錄

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin echo "" > /var/spool/cron/root echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.s

記第一次伺服器

在網路世界裡沒有僥倖,一切可能發生的事情終將發生......   網路安全所涉及的每一個環節都對最終的結果有直接的影響,任何一個環節的疏漏終將造成整個安全鏈條的崩潰。   在某個時間段內公司不允許訪問國外的 IP 地址,自己搭建的 VPN 是無法使用的。所以我就想使用國內的 VPS

Linux伺服器挖礦程式sustse和kworkerds感染後續處理

在上一篇博文Linux系統發現佔用CPU達100%的程序並處理 裡面以為已經把挖礦程式sustse處理乾淨了,可是沒過兩天又收到阿里雲簡訊提醒,說伺服器有問題,難道還有後門嗎?也多虧阿里雲給出提示“出現了可疑安全事件:Linux共享庫檔案預載入配置檔案可疑篡改”。網上查了查相關內容,原來這個

記一次伺服器經歷

從接手公司伺服器兩個半星期經常性的無法正常ssh登陸,十次裡面有九次半都是顯示 ssh_exchange_identification:read:connection reset by peer 也谷歌很多種原因和解決方案,無非是分兩種:一是執行緒滿了,需要更改

linux伺服器上部署springboot專案並讓他持續執行到後臺

我們知道在執行springboot 專案只需要java -jar + 專案的war包(jar包)名。 但是隻要終端已停止那麼服務就會被關閉,也就無法訪問到我們的專案了。所以我們可以使用守護程序的方式來讓服務執行在後臺。1.編寫指令碼如下:這裡的&不能省略 ,表示守護程

學習hadoop遇到的問題(記一次阿里雲伺服器惡意掛木馬CPU100%)

在我剛開始學習時,把防火牆,安全組都開放了,過了一段時間被掛上了木馬。並且殺死程序一會還啟動 解決辦法 1通過命令netstat -antlp|grep 9002檢視埠檔案地址,刪除可以檔案(java資料夾) 2.還得在安全組中關閉hadoop一些對外開放的web頁面(可以改變埠號)

linux伺服器斷開ssh終端之後後臺持續執行Node服務

兩種方法,簡單粗暴 1 . 用  forever  進行管理 官方解釋:一個簡單的CLI工具,用於確保給定指令碼連續執行(即永久執行)。 npm install -g forever forever start app.js //執行 for

在遠端Linux伺服器中備份MySQL資料庫通過scp將遠端Linux伺服器中檔案下載到本地Linux電腦中

1.首先登入到遠端伺服器(ip 10.46.2.228),可通過ssh方式登入,確保ssh服務和22埠正常才能使用scp命令下載檔案; 2.執行命令 mysqldump -u root -p mysql(要匯出的資料庫名) > mysql.sql(匯出資料庫儲存檔名

記一次linux伺服器攻擊的處理經歷

首先發現IO、流量異常。查詢登入記錄,果不其然last命令沒有結果,/var/log/wtmp檔案被刪除。查詢/var/log/secure檔案中的登入記錄:grep "Accept" /var/log/secure查dstat的日誌檔案,正是10:51分開始出現IO異常。用