服务器异常疑似黑客入侵大侠请支招

jiangdaoyou

有可能是你的ssh或ftp服务有漏洞，具我所知，一些版本的linux上自带的ssh及ftp软件有溢出漏洞，hacker扫描攻击后会导致/etc/shadow损坏

uncooldog

more /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      /lib/security/$ISA/pam_env.so
auth        sufficient    /lib/security/$ISA/pam_unix.so likeauth nullok
auth        required      /lib/security/$ISA/pam_deny.so

account     required      /lib/security/$ISA/pam_unix.so
account     sufficient    /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet
account     required      /lib/security/$ISA/pam_permit.so

password    requisite     /lib/security/$ISA/pam_cracklib.so retry=3
password    sufficient    /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password    required      /lib/security/$ISA/pam_deny.so

session     required      /lib/security/$ISA/pam_limits.so
session     required      /lib/security/$ISA/pam_unix.so



stat /etc/pam.d/system-auth
  File: `/etc/pam.d/system-auth'
  Size: 820             Blocks: 16         IO Block: 4096   regular file
Device: 807h/2055d      Inode: 491721      Links: 1
Access: (0644/-rw-r--r--)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2006-12-22 15:39:02.206979312 +0800
Modify: 2006-12-08 19:04:40.000000000 +0800
Change: 2006-12-08 19:04:40.000000000 +0800





stat /tmp
  File: `/tmp'
  Size: 4096            Blocks: 16         IO Block: 4096   directory
Device: 803h/2051d      Inode: 2           Links: 12
Access: (1777/drwxrwxrwt)  Uid: (  777/ UNKNOWN)   Gid: (    0/    root)
Access: 2006-12-22 15:35:21.221574200 +0800
Modify: 2006-12-22 15:40:52.384229824 +0800
Change: 2006-12-22 15:40:52.384229824 +0800



ll /tmp/
total 656
drwx------  2 clamav   clamav   4096 Dec 21 09:00 clamav-dd0badfa30b07e0c
srwxrwxrwx  1 clamav   clamav      0 Dec 21 09:00 clamd
drwx------  2      777 root     4096 Dec 10 02:32 gconfd-root
drwxr-xr-x  2 tomcat   tomcat   4096 Dec 20 18:03 hsperfdata_tomcat
drwxrwxrwx  3 vpopmail vchkpw   4096 Dec 10 03:12 igenus
drwx------  2      777 root    16384 Dec  9 02:31 lost+found
-rw-r--r--  1 vpopmail vchkpw 317049 Dec 22 15:37 lyceum_error_log
-rw-r--r--  1 vpopmail vchkpw     92 Dec 20 14:26 lyceum_security_log
srwxr-xr-x  1      777 root        0 Dec  9 14:54 mapping-root
srwxrwxrwx  1 mysql    mysql       0 Dec 20 18:03 mysql.sock
drwxr-xr-x  3      777 root     4096 Dec 10 02:13 pear
-rw-------  1 vpopmail vchkpw    132 Dec 22 10:12 sess_092fe820adbc1fea03a85df774061626
-rw-------  1 vpopmail vchkpw      0 Dec 22 03:48 sess_0b45c17f0694483463a38fadef557f9a
-rw-------  1 vpopmail vchkpw      0 Dec 22 13:42 sess_0d07ce085cb641cd547999331360737e
-rw-------  1 vpopmail vchkpw      0 Dec 22 15:35 sess_1d593581cfa23199c7d2733637354ae0
-rw-------  1 vpopmail vchkpw    132 Dec 21 23:16 sess_24b30ff2bb3b75e5cc14e1bcf9c96e7f
-rw-------  1 vpopmail vchkpw      0 Dec 22 15:28 sess_282540ed772e648d7f443e70f7b6ece3
-rw-------  1 vpopmail vchkpw      0 Dec 22 15:26 sess_2887032dd0755ffbbb686434ba98d7ff
-rw-------  1 vpopmail vchkpw      0 Dec 22 10:20 sess_2a741531388e6bd84ea36dd37e1fc4f3
-rw-------  1 vpopmail vchkpw      0 Dec 22 15:41 sess_2c57942209f028a310f5c0b7013c99c3
-rw-------  1 vpopmail vchkpw    132 Dec 22 15:30 sess_3379b1f3a2233a892437c637406a982b
-rw-------  1 vpopmail vchkpw    132 Dec 22 13:51 sess_33f8cae21dd400ffccc2cc46edd9c034
-rw-------  1 vpopmail vchkpw      0 Dec 22 07:43 sess_436da4327f27a332eb7d0159d880b24c
-rw-------  1 vpopmail vchkpw      0 Dec 22 15:13 sess_45e382d9e7c2bcd501a063f40c51a51a
-rw-------  1 vpopmail vchkpw    132 Dec 21 23:16 sess_543c42e1f40328ce6f6e289d27aebfbe
-rw-------  1 vpopmail vchkpw    132 Dec 22 03:47 sess_578370cc387107dedc84e2899c13b0c5
-rw-------  1 vpopmail vchkpw    132 Dec 21 23:16 sess_5ecdf40fbbf6b2242afa4a4c0a8d116c
-rw-------  1 vpopmail vchkpw    132 Dec 21 23:16 sess_64180fd959dfd854c6862e52ab7676e4
-rw-------  1 vpopmail vchkpw      0 Dec 22 03:39 sess_67d9bdd7cc7c7cbdd1d3d2ead3f5c8e4
-rw-------  1 vpopmail vchkpw      0 Dec 22 00:18 sess_6f47012cfa7239e5e1f72ec958b7652a
-rw-------  1 vpopmail vchkpw      0 Dec 22 11:17 sess_87cdac9f4638458f0ff0a17be840d867
-rw-------  1 vpopmail vchkpw      0 Dec 22 11:17 sess_91032c90169f000c9433c494a1e85590
-rw-------  1 vpopmail vchkpw      0 Dec 22 13:54 sess_931f04cadc8e3530bef8cc286bb16cf7
-rw-------  1 vpopmail vchkpw      0 Dec 22 08:52 sess_95b2172381a25324dc1ae9234c7dd4ec
-rw-------  1 vpopmail vchkpw      0 Dec 22 10:58 sess_9d5d7f8a2baec4593361386c6ef23482
-rw-------  1 vpopmail vchkpw      0 Dec 22 10:20 sess_9db0e2419cbabfaf35f61047741703b8
-rw-------  1 vpopmail vchkpw      0 Dec 22 15:17 sess_9fe3ec0913b7ba6452d437a3eeea4a1c
-rw-------  1 vpopmail vchkpw      0 Dec 22 03:39 sess_a20543715daedae86dce65544b037dc1
-rw-------  1 vpopmail vchkpw      0 Dec 22 10:20 sess_ac19009027b17cfcf53870baeaf0c8a7
-rw-------  1 vpopmail vchkpw  13611 Dec 22 08:19 sess_acb72230ea2326b5f75e701b2f1f6a03
-rw-------  1 vpopmail vchkpw      0 Dec 22 13:51 sess_b429cf13bb92830b2bf950e6678e0ed7
-rw-------  1 vpopmail vchkpw      0 Dec 22 13:30 sess_bbf73c284c7c324036c1e33a0fc30bf6
-rw-------  1 vpopmail vchkpw      0 Dec 22 03:47 sess_c2bbef7aa14e1b6d4fee81babe4aeb7d
-rw-------  1 vpopmail vchkpw    132 Dec 22 15:22 sess_c3f09610e590b925d15d4d39b9c10e13
-rw-------  1 vpopmail vchkpw      0 Dec 22 13:20 sess_cc247fc8451e9bfca3cdbe4866ba1ad0
-rw-------  1 vpopmail vchkpw    132 Dec 21 23:16 sess_ce9ea912662ae43418f1604f28157614
-rw-------  1 vpopmail vchkpw    132 Dec 22 00:18 sess_cf8fc6ffc2f6af6f7120bca96a7f73ac
-rw-------  1 vpopmail vchkpw      0 Dec 22 14:17 sess_d68ca41cd8c0d87fbce2edcd087d6020
-rw-------  1 vpopmail vchkpw      0 Dec 22 15:13 sess_d7843dc7d2e83a89360ecca2bcf81a04
-rw-------  1 vpopmail vchkpw    193 Dec 21 23:02 sess_da8174ce5c453aa06596d5c355d3921d
-rw-------  1 vpopmail vchkpw      0 Dec 22 15:39 sess_df8b185c5f5d7b93bf94a9004f7d3c9c
-rw-------  1 vpopmail vchkpw      0 Dec 22 03:48 sess_e65b9d025275f712585baf606f7be595
-rw-------  1      777 vchkpw    191 Dec 12 10:29 sess_f10e73b45884b71189a59fe58faab1b6
-rw-------  1 vpopmail vchkpw      0 Dec 22 03:42 sess_fa5878da64ea245ce9e2e1e19634080c
-rw-------  1 vpopmail vchkpw      0 Dec 22 14:52 sess_fa7d110a07b328ff342d9807ec171918
-rw-------  1 vpopmail vchkpw   1696 Dec 22 14:47 sess_fd28929e38d00928682818af7dea29b4
-rw-------  1 vpopmail vchkpw      0 Dec 22 03:39 sess_feb566aad92927e340e2042c60a97cc4
-rw-------  1 vpopmail vchkpw    132 Dec 22 15:37 sess_ffb0d680db14050883a83a16b0762802
drwx------  3 root     root     4096 Dec 21 09:00 spamd-6715-init



/etc/profile 和 /etc/inittab 这两个应该是我装应用程序的时候改的,加了些环境变量在profile里,inittab改过启动方式,装qmail的时候也在这里作过改动
mysql是因为我上次编译php还是什么的时候通不过于是用--force装了mysql-devel的rpm
service syslog status 是叫我看syslog服务的状态吧,搞出乱码了
syslogd (pid 1075 ?-￡??¨è?è??...
klogd (pid 10762) ?-￡??¨è?è??...

不过 ps -ef | grep logd的结果
[root@www ~]# ps -ef | grep logd
root     10758     1  0 Dec21 ?        00:00:00 syslogd -m 0
root     10762     1  0 Dec21 ?        00:00:00 klogd -x
root      8417  8061  0 15:49 pts/2    00:00:00 grep logd

应该是在运行的吧

/var/log/message文件的情况
stat /var/log/messages
  File: ??/var/log/messages?ˉ
  Size: 107122          Blocks: 224        IO Block: 4096   ò?°????t
Device: 805h/2053d      Inode: 16490       Links: 1
Access: (0600/-rw-------)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2006-12-22 15:41:47.751812672 +0800
Modify: 2006-12-20 17:15:07.000000000 +0800
Change: 2006-12-20 17:15:07.000000000 +0800


最近的17号到20号的message都是crond的执行和ftp的登录情况,没什么参考价值
倒是看到了14号早上有人在用Administrator的用户来试ftp的密码?真郁闷
Dec 16 23:38:27 www vsftpd: SELECT userpass FROM ftp_user WHERE username='Administrator' AND (published=1)
Dec 16 23:38:27 www vsftpd: pam_mysql: select returned more than one result
Dec 16 23:38:27 www vsftpd: returning 7 after db_checkpasswd.
Dec 16 23:38:29 www vsftpd: pam_sm_authenticate called.
Dec 16 23:38:29 www vsftpd: dbuser changed.
Dec 16 23:38:29 www vsftpd: dbpasswd changed.
Dec 16 23:38:29 www vsftpd: host changed.
Dec 16 23:38:29 www vsftpd: database changed.
Dec 16 23:38:29 www vsftpd: table changed.
Dec 16 23:38:29 www vsftpd: usercolumn changed.
Dec 16 23:38:29 www vsftpd: passwdcolumn changed.
Dec 16 23:38:29 www vsftpd: crypt changed.
Dec 16 23:38:29 www vsftpd: where changed.
Dec 16 23:38:29 www vsftpd: db_connect  called.
Dec 16 23:38:29 www vsftpd: returning 0 .
Dec 16 23:38:29 www vsftpd: db_checkpasswd called.
Dec 16 23:38:29 www vsftpd: pam_mysql: where clause = published=1


看样子我得抽空把系统重装一下了,整天坐立不安的这样下去也不行,对系统安全这块经验还不够啊,要兄台多指教了


顺便问一下上面的乱码怎么解决
[root@www ~]# echo $LANG
zh_CN.GBK

uncooldog

jiangdaoyou  言之有理, 是有人在扫ftp来着,  不过我用的是最新的vsftp的tarball, 应该不会是这个吧, 而且认证方式是pam_mysql, 不关系统帐号密码的事啊,完全蒙了,

枫影谁用了

原帖由 飘雪心辰 于 2006-12-22 15:10 发表
====================
我从这里看出来的：


QUOTE:
uname -a 结果:
Linux ******* 2.6.9-5.ELsmp #1 SMP Wed Jan 5 19:30:39 EST 2005 i686 i686 i386 GNU/Linux
至于你嘛


QUOTE:
请问从何处得来这个内核有漏洞?

2.6.9-11.EL那这个内核呢?
还不是一样使用红帽的内核，我有exploits，能把普通用户变超级用户，再说清茶的“网络安全”版块早就有人发过这种exploits。你换个让我不认识的版本号来，我就闭嘴

呵呵。。我说的是官方資料！

不是我说你能力不行，我是想知道如何？

不是说別人行你就行，明白？


呵呵,難道红帽的內核你就有能力？呵呵，是不是有点異想天開了？

colddawn

楼上的，飘雪心辰 所说的应当是对的，没记错这个版本内核有几个已经被公开的本地权限提升漏洞，而且代码被广泛流传，本论坛网络安全版有人贴过shellcode，估计国内一大抄的各大安全网站都有完全一样的文章。
按照lz现有的资料，我的判断也是有非常大的可能是这个漏洞导致的。看LZ的系统像redhat as4或者衍生系统，最大可能性的就是这个漏洞：
http://rhn.redhat.com/errata/RHSA-2006-0574.html
另外以关键字redhat AS4 本地权限提升 漏洞 做google 搜索，可以看看这个问题到底严重到了什么程度，可笑的是很多人还在认为Linux是根本不用修补的操作系统。

枫影谁用了

原帖由 colddawn 于 2006-12-23 10:38 发表
楼上的，飘雪心辰 所说的应当是对的，没记错这个版本内核有几个已经被公开的本地权限提升漏洞，而且代码被广泛流传，本论坛网络安全版有人贴过shellcode，估计国内一大抄的各大安全网站都有完全一样的文章。
按照 ...

受影响的核心是
Linux kernel 2.6.17.3
Linux kernel 2.6.17.2
Linux kernel 2.6.17.1
Linux kernel 2.6.17
Linux kernel 2.6.16
Linux kernel 2.6.15
Linux kernel 2.6.14
Linux kernel 2.6.13

好像2.6.9 并不在内?

呵呵,因为我有几台服务器也是采用系统用户的方式验证的,所以对这个比较关心.

fibe

use the command to check which files were modified.

cmd: find / -mtime +2 -type f -print

山东大葱

在2.6.9也在内的！
记得一直到2.6.5吧！

枫影谁用了

原帖由 山东大葱 于 2006-12-24 11:32 发表
在2.6.9也在内的！
记得一直到2.6.5吧！

呵呵。我不确定。

现在也不敢升。虽然可以直接yum.