免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 4881 | 回复: 6

[系统安全] 测试服务器被肉鸡了,疯狂对外发包,拖垮内网。 [复制链接]

论坛徽章:
4
CU大牛徽章
日期:2013-03-13 15:29:07CU大牛徽章
日期:2013-03-13 15:29:49CU大牛徽章
日期:2013-03-13 15:30:19处女座
日期:2014-03-04 14:36:58
发表于 2016-05-12 14:56 |显示全部楼层
本帖最后由 xiaoyun222 于 2016-05-12 15:07 编辑

5. 1之后上班,大家上网很慢慢时断时续。经过1个小时排查,发现是内部的一台centos测试服务器疯狂发包,拖垮整个网络。拔了测试服务器的网线一切恢复正常。


现登陆发现5.3号被暴力破解了root密码:
May  2 05:05:55 localhost sshd[8022]: Failed password for root from 221.203.3.102 port 14581 ssh2
May  2 05:05:58 localhost sshd[8022]: Failed password for root from 221.203.3.102 port 14581 ssh2
May  2 05:06:00 localhost sshd[8022]: Failed password for root from 221.203.3.102 port 14581 ssh2
May  2 05:06:02 localhost sshd[8022]: Failed password for root from 221.203.3.102 port 14581 ssh2
May  2 05:06:06 localhost sshd[8024]: Failed password for root from 221.203.3.102 port 28537 ssh2
May  3 01:05:47 localhost sshd[12939]: Accepted password for root from 221.203.142.133 port 29209 ssh2

并建立一个butter用户:
butter6$yuVnsOV4xTsU9ZJ$Ta8zM6yQoy33aDwyONYPQFdbqrju0AKqfMbxSjpUSXwJG4swdSoIIE7qKL3WWOZKwWyXZrJODjLjqSexoRPA6/:16910:0:99999:7:::


TOP 发现一些可疑的进程
[root@localhost ~]# top
top - 14:19:12 up 6 days, 15:43,  2 users,  load average: 0.00, 0.00, 0.00
Tasks: 125 total,   1 running, 124 sleeping,   0 stopped,   0 zombie
Cpu(s):  0.5%us,  2.2%sy,  0.0%ni, 97.3%id,  0.0%wa,  0.0%hi,  0.0%si,  0.0%st
Mem:   2952696k total,  2857820k used,    94876k free,   191960k buffers
Swap:  1572856k total,    43604k used,  1529252k free,   409704k cached
21780 root      20   0 17024 5416  244 S  2.0  0.2   6:09.03 foflcqdx                                                                  
17064 root      20   0  1376  944  168 S  0.3  0.0   0:00.01 doselqhzjku

[root@localhost log]# ls -al /proc/21780/exe
lrwxrwxrwx 1 root root 0 May 12 14:23 /proc/21780/exe -> /bin/foflcqdx
发现文件生成在/tmp目录下面,进程生成在/bin/,/usr/bin,/ /usr/local/bin等目录下面。这文件删除还会自动生成。

在/etc/cron.hourl下面产生一些脚本
[root@localhost cron.hourly]# ls
0anacron  gcc.sh  hh.tar  xdqclfof.sh

查看脚本内容:
vi gcc.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6

vi xdqclfof.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
rand=$(cat /dev/urandom | sed 's/[^a-zA-Z0-9]//g' | strings -n 5 | head -n 1)
cp "/bin/xdqclfof" "/bin/$rand"
"/bin/$rand"

现在木马还在,我做了iptables,禁止发包,禁止转发,禁止进入其他端口
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -p tcp --dport 3306 -j ACCEPT
iptables -I OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -I OUTPUT -p tcp --sport 80 -j ACCEPT
iptables -I OUTPUT -p tcp --sport 3306 -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
service iptables save

大家帮忙出主意,如何找到木马的根源。不想装系统,只为谈论,学习。

论坛徽章:
4
CU大牛徽章
日期:2013-03-13 15:29:07CU大牛徽章
日期:2013-03-13 15:29:49CU大牛徽章
日期:2013-03-13 15:30:19处女座
日期:2014-03-04 14:36:58
发表于 2016-05-12 14:59 |显示全部楼层
netstat -anp
[root@localhost cron.daily]# netstat -anp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name   
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      7077/sshd           
tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      1038/master         
tcp        0      0 0.0.0.0:3306                0.0.0.0:*                   LISTEN      18640/mysqld        
tcp        0      1 127.0.0.1:59788             127.0.0.1:6004              SYN_SENT    6623/cat resolv.con
tcp        0      1 127.0.0.1:42301             127.0.0.1:1433              SYN_SENT    21780/acpid      


如果不在IPtbales的话,会连接一个澳洲ip的6004端口,现在做了iptables了,一直连接本机的6004端口。
tcp        0      1 127.0.0.1:59788             127.0.0.1:6004              SYN_SENT    6623/cat resolv.con
iptables开启,网卡流量瞬间几个G的。

论坛徽章:
41
操作系统版块每日发帖之星
日期:2016-08-21 06:20:00每日论坛发贴之星
日期:2016-05-05 06:20:00操作系统版块每日发帖之星
日期:2016-05-05 06:20:00IT运维版块每日发帖之星
日期:2016-05-05 06:20:0015-16赛季CBA联赛之山西
日期:2016-04-27 08:49:00操作系统版块每日发帖之星
日期:2016-04-25 06:20:00操作系统版块每日发帖之星
日期:2016-04-17 06:23:2815-16赛季CBA联赛之吉林
日期:2016-03-25 15:46:3415-16赛季CBA联赛之四川
日期:2016-03-25 14:26:19操作系统版块每日发帖之星
日期:2016-05-27 06:20:00操作系统版块每日发帖之星
日期:2016-05-28 06:20:00IT运维版块每日发帖之星
日期:2016-08-18 06:20:00
发表于 2016-05-12 15:02 |显示全部楼层
如果是虚拟机,丢到一个受隔离子网里慢慢找

论坛徽章:
4
CU大牛徽章
日期:2013-03-13 15:29:07CU大牛徽章
日期:2013-03-13 15:29:49CU大牛徽章
日期:2013-03-13 15:30:19处女座
日期:2014-03-04 14:36:58
发表于 2016-05-12 17:36 |显示全部楼层
发现了可疑的启动服务,我已经给/etc/rc.d/init.d与/bin/目录加了i权限,怎么还可以写入文件
udev-post       0ff   1n    2n    3n    4n    5n    6ff
vtacpijwle      0ff   1n    2n    3:on    4:on    5:on    6:off
xdqclfof        0:off   1:on    2:on    3:on    4:on    5:on    6:off
[root@localhost log]# find / -name vtacpijwle
/etc/rc.d/init.d/vtacpijwle
/bin/vtacpijwle
[root@localhost log]# find / -name xdqclfof
/etc/rc.d/init.d/xdqclfof
/bin/xdqclfof
[root@localhost log]#

论坛徽章:
4
CU大牛徽章
日期:2013-03-13 15:29:07CU大牛徽章
日期:2013-03-13 15:29:49CU大牛徽章
日期:2013-03-13 15:30:19处女座
日期:2014-03-04 14:36:58
发表于 2016-05-12 17:39 |显示全部楼层
[root@localhost rc0.d]# /etc/rc.d/  目录下面产生了很多可疑进程,删除还会产生。

root@localhost rc.d]# ls
init.d  rc  rc0.d  rc1.d  rc2.d  rc3.d  rc4.d  rc5.d  rc6.d  rc.local  rc.sysinit
[root@localhost rc.d]# cd rc0.d/
[root@localhost rc0.d]# ll
total 0
lrwxrwxrwx. 1 root root 13 Dec 18 18:23 K05atd -> ../init.d/atd
lrwxrwxrwx. 1 root root 15 Dec 16 01:26 K05jexec -> ../init.d/jexec
lrwxrwxrwx. 1 root root 19 Dec 15 20:43 K10saslauthd -> ../init.d/saslauthd
lrwxrwxrwx  1 root root 22 Mar 15 19:43 K15htcacheclean -> ../init.d/htcacheclean
lrwxrwxrwx  1 root root 15 Mar 15 19:43 K15httpd -> ../init.d/httpd
lrwxrwxrwx. 1 root root 14 Dec 15 20:44 K25sshd -> ../init.d/sshd
lrwxrwxrwx. 1 root root 17 Dec 15 20:43 K30postfix -> ../init.d/postfix
lrwxrwxrwx  1 root root 16 Mar 15 19:42 K36mysqld -> ../init.d/mysqld
lrwxrwxrwx. 1 root root 20 Dec 15 20:43 K50netconsole -> ../init.d/netconsole
lrwxrwxrwx. 1 root root 15 Dec 15 20:43 K60crond -> ../init.d/crond
lrwxrwxrwx. 1 root root 26 Dec 15 20:44 K75blk-availability -> ../init.d/blk-availability
lrwxrwxrwx. 1 root root 15 Dec 15 20:43 K75netfs -> ../init.d/netfs
lrwxrwxrwx. 1 root root 19 Dec 15 20:43 K75udev-post -> ../init.d/udev-post
lrwxrwxrwx. 1 root root 21 Dec 15 20:43 K87restorecond -> ../init.d/restorecond
lrwxrwxrwx. 1 root root 16 Dec 15 20:44 K88auditd -> ../init.d/auditd
lrwxrwxrwx. 1 root root 17 Dec 15 20:43 K88rsyslog -> ../init.d/rsyslog
lrwxrwxrwx. 1 root root 15 Dec 15 20:43 K89rdisc -> ../init.d/rdisc
lrwxrwxrwx  1 root root 20 May 11 11:29 K90henrbnptpr -> ../init.d/henrbnptpr
lrwxrwxrwx. 1 root root 17 Dec 15 20:43 K90network -> ../init.d/network
lrwxrwxrwx  1 root root 20 May  6 11:17 K90pwcujalyib -> ../init.d/pwcujalyib
lrwxrwxrwx  1 root root 20 May  6 10:26 K90pxbaavmwym -> ../init.d/pxbaavmwym
lrwxrwxrwx  1 root root 20 May  5 23:20 K90qlubixqkkr -> ../init.d/qlubixqkkr
lrwxrwxrwx  1 root root 20 May  5 23:31 K90qpfrqtemjf -> ../init.d/qpfrqtemjf
lrwxrwxrwx  1 root root 20 May 12 17:28 K90shzipytesy -> ../init.d/shzipytesy
lrwxrwxrwx  1 root root 20 May  5 23:42 K90tbycnrexfm -> ../init.d/tbycnrexfm
lrwxrwxrwx  1 root root 20 May  6 10:26 K90tfadqadegf -> ../init.d/tfadqadegf
lrwxrwxrwx  1 root root 20 May  6 11:12 K90vlgggcqctp -> ../init.d/vlgggcqctp
lrwxrwxrwx  1 root root 20 May 11 12:08 K90vtacpijwle -> ../init.d/vtacpijwle
lrwxrwxrwx. 1 root root 19 Dec 15 20:43 K92ip6tables -> ../init.d/ip6tables
lrwxrwxrwx. 1 root root 18 Mar 15 19:38 K92iptables -> ../init.d/iptables
lrwxrwxrwx. 1 root root 22 Dec 15 20:44 K99lvm2-monitor -> ../init.d/lvm2-monitor
lrwxrwxrwx. 1 root root 17 Dec 15 20:43 S00killall -> ../init.d/killall
lrwxrwxrwx. 1 root root 14 Dec 15 20:43 S01halt -> ../init.d/halt

论坛徽章:
4
CU大牛徽章
日期:2013-03-13 15:29:07CU大牛徽章
日期:2013-03-13 15:29:49CU大牛徽章
日期:2013-03-13 15:30:19处女座
日期:2014-03-04 14:36:58
发表于 2016-05-12 17:55 |显示全部楼层
找到了crontab 的东西来执行gcc.sh给注释:
#*/3 * * * * root /etc/cron.hourly/gcc.sh

论坛徽章:
0
发表于 2016-05-16 14:25 |显示全部楼层
搞定了没?
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

DTCC2020中国数据库技术大会 限时9.5折

【架构革新 高效可控】2020年8月17日~19日第十一届中国数据库技术大会将在北京隆重召开。

大会设置2大主会场,20+技术专场,将邀请超百位行业专家,重点围绕数据架构、AI与大数据、传统企业数据库实践和国产开源数据库等内容展开分享和探讨,为广大数据领域从业人士提供一场年度盛会和交流平台。

http://dtcc.it168.com


大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP