Chinaunix

标题: 我的linux服务器被黑了，无从下手 [打印本页]

作者: inch 时间: 2005-12-29 15:57
标题: 我的linux服务器被黑了，无从下手
哪位大仙帮个忙，理个思路。 \r\n被黑的程度：网站主页被改，日志都被删除了。 \r\n现在想查出是怎么进入我的系统的。 \r\n\r\n我是一新手，有劳大家帮个忙，也烦请回答的细些。 \r\n\r\n万分感谢！

作者: jianghao0726 时间: 2005-12-29 16:13
说清楚你的具体情况啊,比如你那是什么系统,开什么服务了,好让大家帮你分析啊

作者: inch 时间: 2005-12-29 16:31
标题: 留下了这样一个图

作者: mafa 时间: 2005-12-29 17:05
提示: 作者被禁止或删除内容自动屏蔽

作者: inch 时间: 2005-12-29 17:16
标题: 假如是通过SSH进入的话，那他怎么会知道我的密码的呢？
假如是通过SSH进入的话，那他怎么会知道我的密码的呢？是不是通过工具注入的木马？那是什么工具呢，是我的PHP程序有问题？

作者: ayazero 时间: 2005-12-29 17:25
脆弱性可能存在于很多方面，你贴的这些也不能说明问题

作者: ipaddr 时间: 2005-12-29 17:33
很少听说Linux被黑成这样的。。

作者: inch 时间: 2005-12-29 17:45

原帖由 ayazero 于 2005-12-29 17:25 发表\r\n脆弱性可能存在于很多方面，你贴的这些也不能说明问题

\r\n\r\n\r\n是的。你说的是。但是想理个思路，碰到这种问题，要怎样一步步查。

作者: inch 时间: 2005-12-29 17:52
标题: top 一把
PID USER PRI NI SIZE RSS SHARE STAT LIB %CPU %MEM CTIME COMMAND\r\n 1 root 15 0 468 468 420 S 0 0.0 0.0 0:06 init\r\n 2 root 0K 0 0 0 0 SW 0 0.0 0.0 0:00 migration/0\r\n 3 root 0K 0 0 0 0 SW 0 0.0 0.0 0:00 migration/1\r\n 4 root 15 0 0 0 0 SW 0 0.0 0.0 0:00 keventd\r\n 5 root 34 19 0 0 0 SWN 0 0.0 0.0 0:00 ksoftirqd_CPU0\r\n 6 root 34 19 0 0 0 SWN 0 0.0 0.0 0:00 ksoftirqd_CPU1\r\n 11 root 25 0 0 0 0 SW 0 0.0 0.0 0:00 bdflush\r\n 7 root 15 0 0 0 0 SW 0 0.0 0.0 0:00 kswapd\r\n 8 root 15 0 0 0 0 SW 0 0.0 0.0 0:00 kscand/DMA\r\n 9 root 15 0 0 0 0 SW 0 0.0 0.0 0:00 kscand/Normal\r\n 10 root 15 0 0 0 0 SW 0 0.0 0.0 0:00 kscand/HighMem\r\n 12 root 15 0 0 0 0 SW 0 0.0 0.0 0:00 kupdated\r\n 13 root 25 0 0 0 0 SW 0 0.0 0.0 0:00 mdrecoveryd\r\n 19 root 24 0 0 0 0 SW 0 0.0 0.0 0:00 aacraid\r\n 20 root 25 0 0 0 0 SW 0 0.0 0.0 0:00 scsi_eh_0\r\n 23 root 15 0 0 0 0 SW 0 0.0 0.0 0:00 kjournald\r\n 81 root 25 0 0 0 0 SW 0 0.0 0.0 0:00 khubd\r\n 645 root 15 0 0 0 0 SW 0 0.0 0.0 0:00 kjournald\r\n 1442 root 15 0 580 580 504 S 0 0.0 0.0 0:00 syslogd\r\n 1446 root 25 0 432 432 376 S 0 0.0 0.0 0:00 klogd\r\n 1503 root 15 0 1496 1496 1256 S 0 0.0 0.1 0:00 sshd\r\n 1514 root 25 0 804 804 688 S 0 0.0 0.0 0:00 xinetd\r\n 1524 root 15 0 564 564 504 S 0 0.0 0.0 0:00 crond\r\n 1533 root 25 0 1084 1084 928 S 0 0.0 0.1 0:00 mysqld_safe\r\n 1560 mysql 15 0 11600 11M 1824 S 36 0.0 1.1 0:00 mysqld\r\n 1585 xfs 25 0 3088 3088 796 S 0 0.0 0.2 0:00 xfs\r\n 1594 mysql 15 0 11600 11M 1824 S 36 0.0 1.1 0:01 mysqld\r\n 1595 mysql 20 0 11600 11M 1824 S 36 0.0 1.1 0:00 mysqld\r\n 1596 mysql 25 0 11600 11M 1824 S 36 0.0 1.1 0:00 mysqld\r\n 1597 mysql 25 0 11600 11M 1824 S 36 0.0 1.1 0:00 mysqld\r\n 1598 mysql 20 0 11600 11M 1824 S 36 0.0 1.1 0:00 mysqld\r\n 1608 daemon 15 0 528 528 472 S 0 0.0 0.0 0:00 atd\r\n 1615 root 21 0 400 400 348 S 0 0.0 0.0 0:00 mingetty

作者: inch 时间: 2005-12-29 17:53
标题: ps 一把
UID PID PPID C STIME TTY TIME CMD\r\nroot 1 0 0 18:08 ? 00:00:04 init\r\nroot 2 0 0 18:08 ? 00:00:00 [migration/0]\r\nroot 3 0 0 18:08 ? 00:00:00 [migration/1]\r\nroot 4 1 0 18:08 ? 00:00:00 [keventd]\r\nroot 5 1 0 18:08 ? 00:00:00 [ksoftirqd_CPU0]\r\nroot 6 1 0 18:08 ? 00:00:00 [ksoftirqd_CPU1]\r\nroot 11 1 0 18:08 ? 00:00:00 [bdflush]\r\nroot 7 1 0 18:08 ? 00:00:00 [kswapd]\r\nroot 8 1 0 18:08 ? 00:00:00 [kscand/DMA]\r\nroot 9 1 0 18:08 ? 00:00:00 [kscand/Normal]\r\nroot 10 1 0 18:08 ? 00:00:00 [kscand/HighMem]\r\nroot 12 1 0 18:08 ? 00:00:00 [kupdated]\r\nroot 13 1 0 18:08 ? 00:00:00 [mdrecoveryd]\r\nroot 19 1 0 18:08 ? 00:00:00 [aacraid]\r\nroot 20 1 0 18:08 ? 00:00:00 [scsi_eh_0]\r\nroot 23 1 0 18:08 ? 00:00:00 [kjournald]\r\nroot 81 1 0 18:08 ? 00:00:00 [khubd]\r\nroot 645 1 0 18:08 ? 00:00:00 [kjournald]\r\nroot 1442 1 0 18:08 ? 00:00:00 syslogd -m 0\r\nroot 1446 1 0 18:08 ? 00:00:00 klogd -x\r\nroot 1503 1 0 18:08 ? 00:00:00 /usr/sbin/sshd\r\nroot 1514 1 0 18:08 ? 00:00:00 xinetd -stayalive -reuse -pidfile /var/run/xinetd.pid\r\nroot 1524 1 0 18:08 ? 00:00:00 crond\r\nroot 1533 1 0 18:08 ? 00:00:00 /bin/sh /usr/bin/mysqld_safe --datadir=/var/lib/mysql --pid-file=/var/lib/mysql/smsserver.pid\r\nmysql 1560 1533 0 18:08 ? 00:00:00 [mysqld]\r\nxfs 1585 1 0 18:08 ? 00:00:00 [xfs]\r\nmysql 1594 1560 0 18:08 ? 00:00:00 [mysqld]\r\nmysql 1595 1594 0 18:08 ? 00:00:00 [mysqld]\r\nmysql 1596 1594 0 18:08 ? 00:00:00 [mysqld]\r\nmysql 1597 1594 0 18:08 ? 00:00:00 [mysqld]\r\nmysql 1598 1594 0 18:08 ? 00:00:00 [mysqld]\r\ndaemon 1608 1 0 18:08 ? 00:00:00 [atd]\r\nroot 1615 1 0 18:08 tty1 00:00:00 /sbin/mingetty tty1\r\nroot 1616 1 0 18:08 tty2 00:00:00 /sbin/mingetty tty2\r\nroot 1617 1 0 18:08 tty3 00:00:00 /sbin/mingetty tty3\r\nroot 1618 1 0 18:08 tty4 00:00:00 /sbin/mingetty tty4\r\nroot 1620 1 0 18:08 tty5 00:00:00 /sbin/mingetty tty5\r\nroot 1621 1 0 18:08 tty6 00:00:00 /sbin/mingetty tty6\r\nmysql 1625 1594 0 18:08 ? 00:00:00 [mysqld]\r\nmysql 1626 1594 0 18:08 ? 00:00:00 [mysqld]\r\nmysql 1627 1594 0 18:08 ? 00:00:00 [mysqld]\r\nmysql 1628 1594 0 18:08 ? 00:00:00 [mysqld]\r\nroot 1629 1503 0 18:09 ? 00:00:00 /usr/sbin/sshd\r\nroot 1631 1629 0 18:09 pts/0 00:00:00 -bash\r\nroot 1670 1 0 18:10 ? 00:00:00 /home/httpd/bin/httpd\r\nnobody 1671 1670 0 18:10 ? 00:00:00 [httpd]\r\nnobody 1672 1670 0 18:10 ? 00:00:00 [httpd]\r\nnobody 1673 1670 0 18:10 ? 00:00:00 [httpd]\r\nnobody 1674 1670 0 18:10 ? 00:00:00 [httpd]\r\nnobody 1675 1670 0 18:10 ? 00:00:00 [httpd]\r\nnobody 1679 1670 0 18:10 ? 00:00:00 [httpd]\r\nnobody 1680 1670 0 18:10 ? 00:00:00 [httpd]\r\nnobody 1681 1670 0 18:10 ? 00:00:00 [httpd]\r\nnobody 1708 1670 0 18:14 ? 00:00:00 [httpd]\r\nroot 1715 1631 0 18:16 pts/0 00:00:00 ps -ef

作者: inch 时间: 2005-12-29 17:54
标题: netstat一把
Active Internet connections (w/o servers)\r\nProto Recv-Q Send-Q Local Address Foreign Address State \r\ntcp 0 0 gameserver:http 202.108.9.143:36080 ESTABLISHED \r\ntcp 0 0 gameserver:http d10.search.cnb.ya:20544 ESTABLISHED \r\ntcp 0 0 gameserver:http lj2469.inktomisea:33085 TIME_WAIT \r\ntcp 0 128 gameserver:ssh 192.168.1.109:1722 ESTABLISHED \r\ntcp 0 0 gameserver:http lj9140.inktomisea:54650 TIME_WAIT \r\ntcp 0 0 gameserver:http lj9045.inktomisea:39169 TIME_WAIT \r\nActive UNIX domain sockets (w/o servers)\r\nProto RefCnt Flags Type State I-Node Path\r\nunix 6 [ ] DGRAM 1525 /dev/log\r\nunix 2 [ ] DGRAM 1815 \r\nunix 2 [ ] DGRAM 1680 \r\nunix 2 [ ] DGRAM 1656 \r\nunix 2 [ ] DGRAM 1533

作者: missing-cn 时间: 2005-12-29 17:58
1. 分析没有被删除的系统日志。\r\n2. 分析运行中的程序有没有可疑的。\r\n3. 分析系统程序有没有被修改的。\r\n4. 分析应用程序有没有被修改的。

作者: inch 时间: 2005-12-29 20:01

原帖由 missing-cn 于 2005-12-29 17:58 发表\r\n1. 分析没有被删除的系统日志。\r\n2. 分析运行中的程序有没有可疑的。\r\n3. 分析系统程序有没有被修改的。\r\n4. 分析应用程序有没有被修改的。

\r\n\r\n嗯。谢谢，是不是这次黑的非常严重啊。他留下来的HOTMAIL大家以前有没有见到过啊。我google一下，发现也有人的网站被改成这样的。我想会不会是用工具黑的啊。漏洞现在还是没有找到。。

作者: showrun 时间: 2005-12-29 21:54
个人感觉，通过ssh漏洞是不好弄成这样的。sshd在3.7版本以前的是存在缓冲区溢出漏洞。但是能够尝试成功还是比较难的。至少从我的技术水平来说是这样认为的。\r\n多看看php的问题。

作者: inch 时间: 2005-12-30 08:40

原帖由 showrun 于 2005-12-29 21:54 发表\r\n个人感觉，通过ssh漏洞是不好弄成这样的。sshd在3.7版本以前的是存在缓冲区溢出漏洞。但是能够尝试成功还是比较难的。至少从我的技术水平来说是这样认为的。\r\n多看看php的问题。

\r\n\r\n非常感谢。

作者: ayazero 时间: 2005-12-30 09:21
http://overflow.nease.net/aya/unix_incident.txt\r\n\r\nhttp://overflow.nease.net/aya/Linux_incident_response.sh

作者: zhang21cnboy 时间: 2005-12-30 11:32
检查你系统内的帐户。\r\n\r\n特别检查那些运行apache等的帐户，查看权限是否被修改。\r\n\r\n然后查看是否有其他的帐户，与自己原有的设置发生了变化。\r\n\r\n把黑客可能留下的帐户清除之后，启用防火墙，除了自己明确知道的必须端口之外，关闭所有的进出网络通道。\r\n\r\n一定是出去的进来的都要关闭（很多人的防火墙不限制自己机器的output）。\r\n\r\n更改ssh端口。

作者: inch 时间: 2005-12-30 13:49

原帖由 ayazero 于 2005-12-30 09:21 发表\r\nhttp://overflow.nease.net/aya/unix_incident.txt\r\n\r\nhttp://overflow.nease.net/aya/Linux_incident_response.sh

\r\n\r\n非常感谢！

作者: inch 时间: 2005-12-30 13:50

原帖由 zhang21cnboy 于 2005-12-30 11:32 发表\r\n检查你系统内的帐户。\r\n\r\n特别检查那些运行apache等的帐户，查看权限是否被修改。\r\n\r\n然后查看是否有其他的帐户，与自己原有的设置发生了变化。\r\n\r\n把黑客可能留下的帐户清除之后，启用防火墙，除了自己明确知道的 ...

\r\n\r\n\r\n非常感谢！

作者: fnaps 时间: 2005-12-30 23:01
http://overflow.nease.net/aya/Linux_incident_response.sh \r\n这个脚本有什么用？

作者: inch 时间: 2005-12-31 09:15

原帖由 fnaps 于 2005-12-30 23:01 发表\r\nhttp://overflow.nease.net/aya/Linux_incident_response.sh \r\n这个脚本有什么用？

\r\n\r\n是啊，我也想问下这个角本有什么用

作者: inch 时间: 2005-12-31 09:48
Dec 31 05:39:34 localhost sshd(pam_unix)[8992]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=211-72-82-105.hinet-ip\r\n.hinet.net user=root\r\n\r\n在日志里发现这个　说明什么问题？

作者: neoedmund 时间: 2005-12-31 10:07
1。重装系统\r\n黑客一般都把系统命令都替换成黑客的程序，如ls, ps, \r\n2。重装后正确设置\r\n黑完后说明你的ip已经是黑客的名单中，一般会再次攻击你。所以要安全的配置。

作者: simonlm 时间: 2005-12-31 11:10
低版本的SSH有漏洞！要安装最新版的，而且ROOT密码一定要16位以上。好多客户都是这样被黑的。

作者: paub 时间: 2005-12-31 11:26
标题: 回复 1楼 inch 的帖子
用SSH最好不要用输入密码的方式登录，这样会留下很多隐患，比如你的windows终端如果中了木马，很可能把密码泄漏出去；最好的方法是使用ssh的验证码，由ssh-keygen生成rsa或dsa的公钥和私钥，公钥放在服务器上，这样就不用输入密码，通过公钥和私钥的认证就安全登录了，不过你要放好你的私钥。详细实现方法可以在google或baidu上找到

作者: perryhg 时间: 2005-12-31 13:01
web被黑，绝大多数是sql injection，linux服务器的话看看是不是ftp密码被人试探出来了，还有dns是不是被人exploit了，装个rootkit hunter，查查有没有root kit\r\n\r\n我从日志发现现在有好程序每天自动扫描ssh端口并试探密码，如果你有一个用户是弱密码被人登录了，很可能被安装rootkit。我曾经写过一个程序，就是自动监视日志，如果发现同一个ip地址短时间内连续10次验证失败，就调用iptables彻底屏蔽这个ip，现在日志干净多了。\n\n[ 本帖最后由 perryhg 于 2005-12-31 13:05 编辑 ]

作者: jook999 时间: 2005-12-31 13:53
装个RKhunter 升级到最新，查一下漏洞先。

作者: netyu 时间: 2005-12-31 14:25
LINUX虽是好东东.但不能好好的操作它,一样会有机会让人家攻击的.\r\n就算是你拿Z系列的大机来.不把它配置好也一样会出问题啊,呵呵.

作者: soichiro 时间: 2005-12-31 18:16
在sshd的配置文件中禁用root登陆，创建一个普通用户来进行系统维护，平时都用普通用户登陆后再su，我的系统日志里每天都有成千上万条猜测root密码的连接，但普通用户名几乎不可能被猜到.

作者: inch 时间: 2006-01-01 14:15
非常感谢！RedHat Linux是不是也经常有漏洞产生，那这些漏洞的相关资料及补丁会发布在哪里呢？麻烦各位发个链接呢。

作者: loveKDE 时间: 2006-01-01 16:09
是不是内部有人哟？linux被黑成这样有点郁闷。

作者: sunnypan 时间: 2006-01-02 08:35
sql注入的可能性比较大吧，检查你的php代码。

作者: 大大狗 时间: 2006-01-02 13:57
我好同情你啊，被黑成这样，我看重做一个系统比较好。我看好像从数据库注入的可能性比较大啊

作者: inch 时间: 2006-01-02 18:13

原帖由 大大狗 于 2006-1-2 13:57 发表\r\n我好同情你啊，被黑成这样，我看重做一个系统比较好。我看好像从数据库注入的可能性比较大啊

\r\n\r\n非常感谢！SQL注入也有可能的！此外，RedHat Linux是不是也经常有漏洞产生，那这些漏洞的相关资料及补丁会发布在哪里呢？麻烦各位发个链接呢。

作者: kingnetwork 时间: 2006-01-03 20:23
查看一下登陆情况\r\nlastlog\r\nlast\r\n另外，如果你的系统仅仅是被修改了主页，可能是因为apache的问题，apache的log到了2G会有错误\r\n停掉所有不用的服务，还有查看history，看看黑客运行了些什么命令，还有查看一下/etc/xinetd.d目录的相关配置，可能黑客会留有后门

作者: tigeroar 时间: 2006-01-03 21:03
chkrootkit\r\n好像是叫这个，看看有没有东西被改过。

作者: inch 时间: 2006-01-04 09:15

原帖由 kingnetwork 于 2006-1-3 20:23 发表\r\n查看一下登陆情况\r\nlastlog\r\nlast\r\n另外，如果你的系统仅仅是被修改了主页，可能是因为apache的问题，apache的log到了2G会有错误\r\n停掉所有不用的服务，还有查看history，看看黑客运行了些什么命令，还有查看一下 ...

\r\n\r\nlastlog 日志都被删除掉了，history根本没用。

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)