天涯论坛

 找回密码
 立即注册
搜索
查看: 35|回复: 4

记录网盾服务器被黑过程的排查和思考:续集

[复制链接]

2984

主题

2万

回帖

9956万

积分

论坛元老

Rank: 8Rank: 8

积分
99569176
发表于 2024-8-22 14:44:13 | 显示全部楼层 |阅读模式

昨天说到了查询木马文件那样今天的任务便是删除木马文件修复系统

3、删除木马文件

1)修改authorized_keys

先删除authorized_keys文件里的公钥。

当我执行 rm 命令的时候,我发掘入侵者在我的authorized_keys文件里加了+i锁,不准许删除,还挺聪明的小家伙:

chattr +i /etc/authorized_keys /*文件不可删除、更改、移动*/

玛德,这是人干的事?

我继续查看,服务器的chattr命令被删除了, 重视删除chattr针对服务器来讲,是被黑的第1步。

晓得的,查不到chattr命令

这儿咱们只能尝试手动安装chattrcentos安装过程如下:

yum install e2fsprogs

而后

接着清空authorized_keys文件:

2)用rm命令删除木马文件

put to death并删除已然发掘的木马文件:

这个时候会发掘CPU的运用频率没之前那样多了:

垃圾文件清理完毕,禁用秘码登录,改用生成的秘钥登录

这儿能够先喘口气,看会儿小电影。

4、确定攻击源头——Redis

打开Redis的时候,会发掘各样奇怪的键值。(果然技术在进步,攻击在学习啊)

这个问题是最容易被忽略的:

哎,失策了。Redis的端口开放了且秘码……

虽然我晓得他怎么晓得找到我的服务器的,然则这个crackit看起来怪怪的。

我查阅了有些资料:

2015年11月10日,有网络安全厂商指出国内互联网产生了海量针对Redis数据库服务器的扫描流量,其中有不少Redis服务器的数据库被清空,且

/root/.ssh/authorized_keys文件被创建或改写,入侵者能够获取受影响服务器的完全掌控权限。由于受影响的Redis服务器的数据库被清空,但留存有一条键名为crackit的记录,因此呢这次事件被命名为Redis Crackit入侵事件。

简单的描述便是redis在用户目录写入一个ssh私钥文件,从而创立一个信任关系,这般不需要输入ssh秘码能够登入。

总结来讲,我的服务器有可能不是由于暴力撞库登录,而是经过Redis

top命令检测一下……忒么的,木马文件又来了……看来Redis不清理干净,这个文件会始终徘徊在我身边……

等一下,kswapd0似曾相识?

kswapd0过高是由于理学内存不足,运用swap分区与内存换页操作交换数据,致使CPU占用过高。

kswapd0是个小东西,背面的真实功效是执行木马文件/tmp/.x25-unix/.rsynckswapd0

因此说不根除Redis,入侵者下次还能够用Redis的漏洞搞我的网盾服务器……(说实话,心好累)

实质上的kswapd0进程这般的:

我特意执行Redis的时候截了图:

下载的是一个pm.sh脚本,打开它:

看似是一个sh脚本,实质上是一个png文件,还有可执行的权限。

能够直接下载下来给权限,并执行。 /.png

能够看出有一个bin脚本,删除,录入到/usr/bin里

让他跑起来,不要停。

这过程chattr会被删除,authorized_keys文件被修改

最后执行的是 /usr/bin/kswaped这个脚本,起始找好东西。

再用top查看一下CPU利用率,又回到100%的状态。真是见鬼……

抓鸭子啊抓鸭子:

记住104.27.129.57 这个美国的CDN节点,摸着西瓜找藤子(不对说反了?)导出抓到的WirteShark瞧瞧

源IP请看红色部分,还能够看到请求数据库的操作(端口3306)。

难不成我服务器还有DDoS攻击?为了守护我的网络安全,网盾的客服始终让我赶紧处理……

分布式拒绝服务攻击能够使非常多的计算机在同一时间遭受到攻击,使攻击的目的没法正常运用,分布式拒绝服务攻击已然显现非常多次,引起非常多的大型网站都显现没法进行操作的状况这般不仅会影响用户的正常运用同期导致的经济损失是非常巨大的。

分布式拒绝服务攻击方式在进行攻击的时候,能够对源IP位置进行伪造,这般就使得这种攻击在出现的时候隐蔽性是非常好的,同期要对攻击进行检测是非常困难的,因此呢这种攻击方式作为了非常难以防范的攻击。

5、预防针

服务器之因此被攻击,还是由于暴露的公网端口太多了,尤其是Redis6789、MySQL3306这种,当然了,秘码过于简单占了很大的原由

按照我的经验来给你打个预防针:

1)服务器

修改 /etc/ssh/sshd_config文件

准许秘码登录,仅有秘钥才可登录更改ssh默认端口,防止显现暴力撞库root账户没法直接登陆,仅有特定IP才能够拜访

如:

2)应用

Redis只能本地拜访,修改默认端口,不是所有IP都可见;MySQL仅对特定IP开放拜访权限;设置端口的防火墙规则;

当然了,你还能够运用跳板机、堡垒机拜访

3)备份

这玩意儿就和救命稻草同样的,一旦不小心操作,你能够备份恢复数据。当然了,必定要设置定时

这期的分享就到这儿期盼大众在平时的运用重视操作规则,守护好自己的网络安全。





上一篇:Linux chattr 命令详解
下一篇:处理服务器被挖矿的一次经历
回复

使用道具 举报

3119

主题

2万

回帖

9910万

积分

论坛元老

Rank: 8Rank: 8

积分
99108641
发表于 2024-9-26 04:45:34 | 显示全部楼层
太棒了、厉害、为你打call、点赞、非常精彩等。
回复

使用道具 举报

3067

主题

3万

回帖

9915万

积分

论坛元老

Rank: 8Rank: 8

积分
99158943
发表于 2024-10-5 09:05:48 | 显示全部楼层
seo常来的论坛,希望我的网站快点收录。
回复

使用道具 举报

3044

主题

2万

回帖

9910万

积分

论坛元老

Rank: 8Rank: 8

积分
99109056
发表于 2024-11-10 16:55:44 | 显示全部楼层
期待更新、坐等、迫不及待等。
回复

使用道具 举报

3068

主题

2万

回帖

9913万

积分

论坛元老

Rank: 8Rank: 8

积分
99138956
发表于 2024-11-11 08:46:47 | 显示全部楼层
回顾历史,我们不难发现:无数先辈用鲜血和生命铺就了中华民族复兴的康庄大道。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

站点统计|Archiver|手机版|小黑屋|天涯论坛 ( 非经营性网站 )|网站地图

GMT+8, 2024-11-22 13:23 , Processed in 0.134423 second(s), 21 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.