SlipStupig
2016-11-25 03:09:52 +08:00
有很多种可能,从你提供的信息,我们逐个推测:
1.wordpress 漏洞:这个问题方面很多了,本身 wordpress 漏洞或者插件漏洞, wordpress 权限集成于 apache httpd ,写文件在目录下面问题不大
2.中间件漏洞: PHP Apache mysq SSH 等中间件远程执行代码,这些中间件或者系统内核存在
3.VPS ISP 本身权限管理不严格,存在虚拟机存在穿透漏洞或者被渗透(这种遇到了,几乎无解,城墙都垮了还有什么可谈的)
4.下载了不明的程序导致主机被入侵
5.生产环节漏洞: phpmyadmin 、 zabbix ,备份文件泄露, svn 或者 github 秘钥泄露等
排查过程:
1.先查看创建文件的时间和用户,大致能推出时来自哪一个服务创建的, 查找该 owner 从创建文件时间,往前推一定时间的文件(实在不知道你被入侵了多久,没办法给一个具体时间,一般我会找前 24 个小时的),逐个排查出异常,发现异常脚本或者程序马上删除,如果时间已经很长了,可以先删除掉目录然后等着对方再次上传,往前推可以过滤掉很多噪音)
2.检查 SSH 证书目录,看有没可疑的新证书出现,如果有的删除掉
2.没有效果,把对外暴露的所有日志全部拉出来分析错误(日志很有可能被删除或者覆盖,但是你这种钓鱼的一般都是自动化入侵,一般情况下会留下大量错误日志),根据日志分析去定位相关的可疑文件
3.检查文件是否存在共享或者 RPC 调用,如果存在且不需要请及时关闭
4.检查 corntab 和启动项还有服务项和已经运行的进程,看有没可疑
5.请关闭 SSH ,然后使用其他远程工具比如: netcat 做一个零售替代方案, 请把 linux 一些重要命令从本地上传到服务器(很有可能服务器命令被替换了,有条件的话应该全部替换掉),检查软件源 /软件包秘钥看是否被替换掉, 然后使用 chkrootkit 和一些恶意脚本查杀工具去检查,如果还是没有发现异常,应当下载一些系统重要文件或者驱动到本地分析,看文件是否被感染,先把文件删掉,抓一两个小时的包,看有没异常心跳或者加密流量请求,然后做相应的处理,
6.如果你进行了全部排查都还是没有结果,这个时候排查什么的基本上意义不大了,主要思路在于加固这块,启用 SELinux ,然后降低所有中间件权限,然后删除关闭一些不必要的服务,然后对外暴露服务目录单独配置 ACL ,升级所有的服务和内核版本,启用 apache 配置 htaccess ,只允许指定 ip 访问后台, PHP 开启 safe_mode ,删除一些用不上的 php 扩展删除本地一些用不上的脚本命令,对外开放端口能少就少,最好就开放一个 80 端口,其余全部关闭,如果有条件可以分析一下本地的 dump 文件,说不定可以发现一些异常