故事是這樣的，大年初一，客戶反應(yīng)他們服務(wù)器無(wú)法訪問(wèn)，查看路由，發(fā)現(xiàn)某oracle+tomcat服務(wù)器UDP流量超大，把帶寬占完了，過(guò)年嘛，客戶那邊先找了當(dāng)?shù)氐募夹g(shù)人員弄了幾天沒(méi)搞定，然后沒(méi)辦法大年初三的找我們弄…顧客是上帝！

其實(shí)吧以前也遇到過(guò)這類攻擊，當(dāng)時(shí)某IDC都被打癱了，只不過(guò)馬兒不在我們的設(shè)備上，所以沒(méi)過(guò)多關(guān)注…

0×01 查找木馬

首先SSH登陸，top查看進(jìn)程，發(fā)現(xiàn)奇怪名字的命令gejfhzthbp,一看就感覺(jué)有問(wèn)題。

lsof–cgejfhzthbp

查看關(guān)聯(lián)文件，發(fā)現(xiàn)對(duì)外的tcp連接，不知道是不是反向shell…

執(zhí)行命令

Whereisgejfhzthbp ls-algejfhzthbp

查看文件路徑。并查看文件創(chuàng)建時(shí)間，與入侵時(shí)間吻合。

順便把文件拷貝下來(lái)放到kali虛擬機(jī)試了下威力，幾秒鐘的結(jié)果如下…

之前還以為是外國(guó)人搞的，這應(yīng)該能證明是國(guó)人搞的了…

0×02 恢復(fù)業(yè)務(wù)

首先kill進(jìn)程，結(jié)果肯定沒(méi)那么簡(jiǎn)單，進(jìn)程換個(gè)名字又出來(lái)了

中間嘗試過(guò)很多過(guò)程，ps –ef |grep 發(fā)現(xiàn)父進(jìn)程每次不一樣，關(guān)聯(lián)進(jìn)程有時(shí)是sshd，有時(shí)是pwd，ls，中間裝了個(gè)VNC連接，然后關(guān)閉ssh服務(wù)，同樣無(wú)效，而且kill幾次之后發(fā)現(xiàn)父進(jìn)程變成了1 ，水平有限，生產(chǎn)服務(wù)器，還是保守治療，以業(yè)務(wù)為主吧…

既然被人入侵了，首先還是把防火墻的SSH映射關(guān)掉吧，畢竟服務(wù)器現(xiàn)在還要用，還是寫(xiě)幾條iptables規(guī)則吧

iptables-AOUTPUT-olo-jACCEPT

允許本機(jī)訪問(wèn)本機(jī)

iptables-AOUTPUT-mstate--stateESTABLISHED-jACCEPT

允許主動(dòng)訪問(wèn)本服務(wù)器的請(qǐng)求

iptables-AOUTPUT–ptcp–d192.168.1.235-jACCEPT

允許服務(wù)器主動(dòng)訪問(wèn)的IP白名單

iptables-ADROP

拒絕對(duì)外訪問(wèn)

到此，業(yè)務(wù)恢復(fù)正常。

0×03 查找原因

其實(shí)原因一開(kāi)始我就意識(shí)到了是SSH的問(wèn)題，只是先要幫人把業(yè)務(wù)恢復(fù)了再說(shuō)，web端口方面就只有tomcat的，web漏洞都查過(guò)了，什么struts2，manager頁(yè)面，還有一些常規(guī)web漏洞均不會(huì)存在，除非有0day…. Oracle也不外連，只有個(gè)SSH

基于這一點(diǎn)，我直接查root賬戶ssh登陸日志，翻啊翻，終于….

cd/var/loglesssecure

如上圖，使用印尼IP爆破成功，而后面服務(wù)器內(nèi)網(wǎng)IP登陸竟然是失敗，問(wèn)了客戶，算是明白了怎么回事，他們年底加設(shè)備，給服務(wù)器臨時(shí)改了弱密碼方便各種第三方技術(shù)人員調(diào)試，然后估計(jì)忘了改回來(lái)，結(jié)果悲劇了，被壞人登陸了不說(shuō)，root密碼還被改，自己都登不上…不知道他們老板知不知道…

繼續(xù)查看history文件，看人家都干了些什么。

壞人的操作過(guò)程基本就在這里了，他執(zhí)行了好多腳本，誰(shuí)知道他干了多少事，還是建議客戶重裝系統(tǒng)吧…

0×04 后記

主要還是自己經(jīng)驗(yàn)尚淺，linux運(yùn)維玩的不熟，不知道怎么把馬兒徹底趕出去…大牛勿噴。