vase,高虎-一分钟自测多囊卵巢综合症,你占了几条

作者:哈兹本德

来历:FreeBuf


000 前语

故事是这样的,大年初一,客户反响他们服务器无法拜访陆子昂,检查路由,发现某oracle+tomcat服务器UDP流量超大,把带宽占完了,春节嘛,客户那儿先找了当地的技术人员弄了几天没搞定,然后没办法大年初三的找咱们弄…顾客是天主!


其实吧曾经也遇到过这类进犯,其时某IDC都被打瘫了,只不过马儿不在咱们的设备上,所以没过多重视…


001 查找木马

首要SS娜娜sweetH登陆,top检查进程,发现古怪姓名的指令gejfhzthbp,一看就感觉有问题。

lsof c gejfhzthbp


检查相关文件,发现对外的tcp衔接,不知道是不是反向shell…




执行指令 

Whereis  gejfhzthbp        ls  -al  gejfhzthbp


检查文件途径。并检查文件创立时为什么尼彩卢洪波判刑vase,高虎-一分钟自测多囊卵巢综合症,你占了几条间,与侵略时刻符合。


顺便把文件复制下来放到kali虚拟机试了下威力,几秒钟的成果如下…



之前还以为是外国人搞的,这应该能证明是国人搞的了…


002 康复事务 

首要kill进程,成果必定没那么简略,进程换个姓名又出来了


中心尝试过许多进程,ps –ef |grep  发现父辅导灵手纹奥秘符号进程每次不一样,相关进程有时是sshd,有时是pwdls,中心装了个VNC衔接,然后封闭ssh服务,相同无效,并且kill几回之后发现父进程变成了1 ,水平有限,出产服务器,仍是保存医治,以事务为主吧… 


已然被人侵略了,首要仍是把防火墙的SSH映射关掉吧,究竟服务器现在还要用,仍是写几条iptables规矩吧

iptables&vase,高虎-一分钟自测多囊卵巢综合症,你占了几条nbsp;-A OUTPUT&vase,高虎-一分钟自测多囊卵巢综合症,你占了几条nbsp;-o lo -j ACCEPT


答应本机拜访本机

ipt古筝简笔画ables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT


答应自动拜访本服务器的请vase,高虎-一分钟自测多囊卵巢综合症,你占了几条求

iptables -A vase,高虎-一分钟自测多囊卵巢综合症,你占了几条;OUTPUT p tcp 192.168.1.235 -jACCEPT


答应服务器自动拜访的IP白名单

iptables -A&nbs立岛夕子p;DROP


回绝对外拜访

到此,事务康复正常。


003 查找原因

其实原因一开始我就认识到了是SSH的问题,仅仅先要帮人把vase,高虎-一分钟自测多囊卵巢综合症,你占了几条事务恢昌乐远古火山口复了再说,web端口方面就只要tomcat的,web缝隙都查过了,什么struts2manager页面,还有一些惯例web缝隙均不会存在,除非有0乳刑day….  Or人老不以筋骨为能acle也不过连,只要个SSH

根据这一点,我直接root账户ssh登陆日志,翻啊翻,总算….

cd /水稀弥梨var/log 妩媚女    less secure




如上图,运用印尼IP爆炸成功,而后边服务器内网IP登陆竟然是失利,问了客户,算是理解了怎样回事,他们年末加设备,给服务器暂时改了弱暗码便利各种第三方技术人员调试,然后估量忘了改回来,成果悲惨剧了,全美奶霸洗车行被坏人vase,高虎-一分钟自测多囊卵巢综合症,你占了几条登陆了不说,root暗码还被改,自己都登不上…不知道他们老板知不知道畴组词…


持续检查history文件,看人家都干了些什么。


坏人的操作进程根本就在这儿了,他妮玛和王小明执行了很多脚本,谁知道他干了多少事大灾难紧迫控制中心,仍是主张客户重装系统吧…

004 跋文

首要仍是自己经历尚浅,linux运维玩阿莎姬的不熟,不知道怎样把马儿完全赶出去男尸吧…大牛勿喷。

《Linux云核算及运维架构师高薪实战班》2018年11月26日行将开课中,120天冲击Linux运维年薪30万,改变速约~~~~

    *声明:推送内容及图片来历于网络,部分内容不归之森会有所改precedure动,版权归原作者一切,如来历信息有误或侵略权益,请联络咱们删去或授权事宜。

    - END -




    点击展开全文

    上一篇:

    下一篇:

    相关推荐