Linux 主機被入侵後的處理案例

Linux主機被入侵後的處理案例

提交

個人留言

加載中

已留言

 一次Linux被入侵後的分析

下面經過一個案例介紹下當一個服務器被rootkit入侵後的處理思路和處理過程，rootkit攻擊是Linux系統下最多見的攻擊手段和攻擊方式。

一、受攻擊現象

這是一臺客戶的門戶網站服務器，託管在電信機房，客戶接到電信的通知：因爲此服務器持續對外發送數據包，致使100M帶寬耗盡，因而電信就切斷了此服務器的網絡。此服務器是Centos5.5版本，對外開放了80、22端口。
從客戶那裏瞭解到，網站的訪問量並不大，因此帶寬佔用也不會過高，而耗盡100M的帶寬是絕對不可能的，那麼極有多是服務器遭受了流量攻擊，因而登陸服務器作詳細的檢測。

二、初步分析

在電信人員的配合下經過交換機對該服務器的網絡流量進行了檢測，發現該主機確實存在對外80端口的掃描流量，因而登陸系統經過「netstat –an」命令對系統開啓的端口進行檢查，可奇怪的是，沒有發現任何與80端口相關的網絡鏈接。接着使用「ps –ef」、「top」等命令也沒有發現任何可疑的進程。因而懷疑係統是否被植入了rootkit。
爲了證實系統是否被植入了rootkit，咱們將網站服務器下的ps、top等命令與一個同版本可信操做系統下的命令作了md5sum校驗，結果發現網站服務器下的這兩個命令確實被修改過，由此判定，此服務器已經被入侵而且安裝了rootkit級別的後門程序。

三、斷網分析系統

因爲服務器不停向外發包，所以，首先要作的就是將此服務器斷開網絡，而後分析系統日誌，尋找攻擊源。可是系統命令已經被替換掉了，若是繼續在該系統上執行操做將變得不可信，這裏能夠經過兩種方法來避免這種狀況，第一種方法是將此服務器的硬盤取下來掛載到另一臺安全的主機上進行分析，另外一種方式就是從一個同版本可信操做系統下拷貝全部命令到這個入侵服務器下某個路徑，而後在執行命令的時候指定此命令的完整路徑便可，這裏採用第二種方法。
咱們首先查看了系統的登陸日誌，查看是否有可疑登陸信息，執行以下命令：

more /var/log/secure |grep Accepted

經過對命令輸出的查看，有一條日誌引發了咱們的懷疑：

Oct 3 03:10:25 webserver sshd[20701]: Accepted password for mail from 62.17.163.186 port 53349 ssh2

這條日誌顯示在10月3號的凌晨3點10分，有個mail賬號從62.17.163.186這個IP成功登陸了系統，mail是系統的內置賬號，默認狀況下是沒法執行登陸操做的，而62.17.163.186這個IP，通過查證，是來自愛爾蘭的一個地址。從mail賬號登陸的時間來看，早於此網站服務器遭受攻擊的時間。

接着查看一下系統密碼文件/etc/shadow，又發現可疑信息：

mail:$1$kCEd3yD6$W1evaY5BMPQIqfTwTVJiX1:15400:0:99999:7:::

很明顯，mail賬號已經被設置了密碼，而且被修改成可遠程登陸，之因此使用mail賬號，猜測多是由於入侵者想留下一個隱蔽的賬號，以方便往後再次登陸系統。
而後繼續查看其餘系統日誌，如/var/log/messages、/var/log/wtmp均爲空文件，可見，入侵者已經清理了系統日誌文件，至於爲什麼沒有清空/var/log/secure文件，就不得而知了。

四、尋找攻擊源

到目前爲止，咱們所知道的狀況是，有個mail賬號曾經登陸過系統，可是爲什麼會致使此網站服務器持續對外發送數據包呢？必需要找到對應的攻擊源，經過替換到此服務器上的ps命令查看系統目前運行的進程，又發現了新的可疑：

nobody   22765     1  6 Sep29 ?        4-00:11:58 .t

這個.t程序是什麼呢，繼續執行top命令，結果以下：

PID USER    PR  NI  VIRT  RES  SHR  S  %CPU %MEM    TIME+  COMMAND
22765 nobody  15  0   1740m 1362m 1228  S  98.3    91.5      2892:19   .t

從輸出可知，這個t程序已經運行了4天左右，運行這個程序的是nobody用戶，而且這個t程序消耗了大量的內存和cpu，這也是以前客戶反映的網站服務器異常緩慢的緣由，從這個輸出，咱們獲得了t程序的進程PID爲22765，接下來根據PID查找下執行程序的路徑在哪裏：
進入內存目錄，查看對應PID目錄下exe文件的信息：

[root@webserver ~]# /mnt/bin/ls -al /proc/22765/exe 
lrwxrwxrwx 1 root root 0 Sep 29 22:09 /proc/22765/exe -> /var/tmp/…/apa/t

這樣就找到了進程對應的完整程序執行路徑，這個路徑很隱蔽，因爲/var/tmp目錄默認狀況下任何用戶可讀性，而入侵者就是利用這個漏洞在/var/tmp目錄下建立了一個「…」的目錄，而在這個目錄下隱藏着攻擊的程序源，進入/var/tmp/…/目錄，發現了一些列入侵者放置的rootkit文件，列表以下：

[root@webserver ...]#/mnt/bin/ls -al
drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 apa
-rw-r--r-- 1 nobody nobody     0 Sep 29 22:09 apa.tgz
drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 caca
drwxr-xr-x 2 nobody nobody 4096   Sep 29 22:09 haha
-rw-r--r-- 1 nobody nobody      0 Sep 29 22:10 kk.tar.gz
-rwxr-xr-x 1 nobody nobody      0 Sep 29 22:10 login
-rw-r--r-- 1 nobody nobody      0 Sep 29 22:10 login.tgz
-rwxr-xr-x 1 nobody nobody      0 Sep 29 22:10 z

經過對這些文件的分析，基本判斷這就是咱們要找的程序攻擊源，其中：

1）z程序是用來清除系統日誌等相關信息的，例如執行：

./z 62.17.163.186

這條命令執行後，系統中全部與62.17.163.186有關的日誌將所有被清除掉。
2）在apa目錄下有個後門程序t，這個就是以前在系統中看到的，運行此程序後，此程序會自動去讀apa目錄下的ip這個文件，而ip這個文件記錄了各類ip地址信息，猜測這個t程序應該是去掃描ip文件中記錄的全部ip信息，進而獲取遠程主機的權限，可見這個網站服務器已是入侵者的一個肉雞了。
3） haha目錄裏面放置的就是用來替換系統相關命令的程序，也就是這個目錄下的程序使咱們沒法看到操做系統的異常狀況。
4）login程序就是用來替換系統登陸程序的木馬程序，此程序還能夠記錄登陸賬號和密碼。

五、查找攻擊緣由

到這裏爲止，服務器上遭受的攻擊已經基本清晰了，可是入侵者是如何侵入這臺服務器的呢？這個問題很重要，必定要找到入侵的根源，才能從根本上封堵漏洞。
爲了弄清楚入侵者是如何進入服務器的，須要瞭解下此服務器的軟件環境，這臺服務器是一個基於java的web服務器，安裝的軟件有apache2.0.63、tomcat5.5，apache和tomcat之間經過mod_jk模塊進行集成，apache對外開放80端口，因爲tomcat沒有對外開放端口，因此將問題集中到apache上面。
經過查看apache的配置發現，apache僅僅處理些靜態資源請求，而網頁也以靜態頁面居多，因此經過網頁方式入侵系統可能性不大，既然漏洞可能來自於apache，那麼嘗試查看apache日誌，也許能發現一些可疑的訪問痕跡，經過查看access.log文件，發現了以下信息：

62.17.163.186 - - [29/Sep/2013:22:17:06 +0800] "GET http://www.xxx.com/cgi-bin/awstats.pl?configdir=|echo;echo;ps+-aux%00 HTTP/1.0" 200 12333 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.8.1) Gecko/20121010 Firefox/2.0"
62.17.163.186 - - [29/Sep/213:22:17:35 +0800] "GET http://www.xxx.com/cgi-bin/awstats.pl?configdir=|echo;echo;cd+/var/tmp/.../haha;ls+-a%00 HTTP/1.0" 200 1626 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.8.1) Gecko/20121010 Firefox/2.0"

至此，發現了漏洞的根源，原來是awstats.pl腳本中configdir的一個漏洞，經過了解此服務器的應用，客戶確實是經過一個Awstats的開源插件來作網頁訪問統計，經過這個漏洞，攻擊者能夠直接在瀏覽器上操做服務器，例如查看進程、建立目錄等。經過上面第二條日誌能夠看出，攻擊者正常瀏覽器執行切換到/var/tmp/.../haha目錄的操做。
這個腳本漏洞挺可怕的，不過在Awstats官網也早已給出了修補的方法，對於這個漏洞，修復方法很簡單，打開awstats.pl文件，找到以下信息：

if ($QueryString =~ /configdir=([^&]+)/i)
{
$DirConfig=&DecodeEncodedString("$1");
}
修改成以下便可：
if ($QueryString =~ /configdir=([^&]+)/i)
{
$DirConfig=&DecodeEncodedString("$1");
$DirConfig=~tr/a-z0-9_-/./a-z0-9_-/./cd;
}

六、揭開謎團

經過上面逐步分析和介紹，此服務遭受入侵的緣由和過程已經很是清楚了，大體過程以下：

• （1） 攻擊者經過Awstats腳本awstats.pl文件的漏洞進入了系統，在/var/tmp目錄下建立了隱藏目錄，而後將rootkit後門文件傳到這個路徑下。

• （2） 攻擊者經過植入後門程序，獲取了系統超級用戶權限，進而控制了這臺服務器，經過這臺服務器向外發包。

• （3） 攻擊者的IP地址62.17.163.186多是經過代理過來的，也多是攻擊者控制的其餘肉雞服務器。

• （4） 攻擊者爲了永久控制這臺機器，修改了系統默認賬號mail的信息，將mail賬號變爲可登陸，而且設置了mail賬號的密碼。

• （5） 攻擊者在完成攻擊後，經過後門程序自動清理了系統訪問日誌，毀滅了證據。
  經過對這個入侵過程的分析，發現入侵者的手段仍是很是簡單和廣泛的，雖然入侵者刪除了系統的一些日誌，可是仍是留下了不少可查的蹤影，其實還能夠查看用戶下的.bash_history文件，這個文件是用戶操做命令的歷史記錄。

七、如何恢復網站

因爲系統已經文件被更改和替換，此係統已經變得徹底不可信，所以建議備份網站數據，從新安裝系統，基本步驟以下：

• （1） 安裝穩定版本的操做系統，刪除系統默認的而且不須要的用戶。

• （2） 系統登陸方式改成公鑰認證方式，避開密碼認證的缺陷。

• （3） 安裝更高版本的apache和最新穩定版本的Awstats程序。

• （4） 使用Linux下的Tcp_Wrappers防火牆，限制ssh登陸的源地址。

閱讀

投訴

精選留言

該文章做者已設置需關注才能夠留言

寫留言

該文章做者已設置需關注才能夠留言

寫留言

加載中

以上留言由公衆號篩選後顯示

瞭解留言功能詳情

微信掃一掃
關注該公衆號

來自爲知筆記(Wiz)