Linux服務(wù)器被rootkit惡意軟件攻擊后的處理方法

發(fā)布時(shí)間：2014-12-14 11:47:59 作者：佚名

rootkit是一種惡意軟件，而Linux是其重要的攻擊對(duì)象，那么Linux被rootkit攻擊后該怎么辦呢？下面與大家分享下Linux服務(wù)器被rootkit攻擊后的處理方法，感興趣的朋友可以參考下

　　rootkit是一種惡意軟件，通常和木馬等其他惡意程序一起結(jié)合使用，而Linux是其重要的攻擊對(duì)象，那么Linux被rootkit攻擊后該怎么辦呢？下面小編就給大家介紹下Linux服務(wù)器被rootkit攻擊后該如何處理。

Linux服務(wù)器被rootkit攻擊后該如何處理？

　　IT行業(yè)發(fā)展到現(xiàn)在，安全問題已經(jīng)變得至關(guān)重要，從最近的“棱鏡門”事件中，折射出了很多安全問題，信息安全問題已變得刻不容緩，而做為運(yùn)維人員，就必須了解一些安全運(yùn)維準(zhǔn)則，同時(shí)，要保護(hù)自己所負(fù)責(zé)的業(yè)務(wù)，首先要站在攻擊者的角度思考問題，修補(bǔ)任何潛在的威脅和漏洞。

　　下面通過一個(gè)案例介紹下當(dāng)一個(gè)服務(wù)器被rootkit入侵后的處理思路和處理過程，rootkit攻擊是Linux系統(tǒng)下最常見的攻擊手段和攻擊方式。

　　1、受攻擊現(xiàn)象

　　這是一臺(tái)客戶的門戶網(wǎng)站服務(wù)器，托管在電信機(jī)房，客戶接到電信的通知：由于此服務(wù)器持續(xù)對(duì)外發(fā)送數(shù)據(jù)包，導(dǎo)致100M帶寬耗盡，于是電信就切斷了此服務(wù)器的網(wǎng)絡(luò)。此服務(wù)器是Centos5.5版本，對(duì)外開放了80、22端口。

　　從客戶那里了解到，網(wǎng)站的訪問量并不大，所以帶寬占用也不會(huì)太高，而耗盡100M的帶寬是絕對(duì)不可能的，那么極有可能是服務(wù)器遭受了流量攻擊，于是登錄服務(wù)器做詳細(xì)的檢測(cè)。

　　2、初步分析

　　在電信人員的配合下通過交換機(jī)對(duì)該服務(wù)器的網(wǎng)絡(luò)流量進(jìn)行了檢測(cè)，發(fā)現(xiàn)該主機(jī)確實(shí)存在對(duì)外80端口的掃描流量，于是登錄系統(tǒng)通過“netstat –an”命令對(duì)系統(tǒng)開啟的端口進(jìn)行檢查，可奇怪的是，沒有發(fā)現(xiàn)任何與80端口相關(guān)的網(wǎng)絡(luò)連接。接著使用“ps –ef”、“top”等命令也沒有發(fā)現(xiàn)任何可疑的進(jìn)程。于是懷疑系統(tǒng)是否被植入了rootkit。

　　為了證明系統(tǒng)是否被植入了rootkit，我們將網(wǎng)站服務(wù)器下的ps、top等命令與之前備份的同版本可信操作系統(tǒng)命令做了md5sum校驗(yàn)，結(jié)果發(fā)現(xiàn)網(wǎng)站服務(wù)器下的這兩個(gè)命令確實(shí)被修改過，由此斷定，此服務(wù)器已經(jīng)被入侵并且安裝了rootkit級(jí)別的后門程序。

　　3、斷網(wǎng)分析系統(tǒng)

　　由于服務(wù)器不停向外發(fā)包，因此，首先要做的就是將此服務(wù)器斷開網(wǎng)絡(luò)，然后分析系統(tǒng)日志，尋找攻擊源。但是系統(tǒng)命令已經(jīng)被替換掉了，如果繼續(xù)在該系統(tǒng)上執(zhí)行操作將變得不可信，這里可以通過兩種方法來避免這種情況，第一種方法是將此服務(wù)器的硬盤取下來掛載到另外一臺(tái)安全的主機(jī)上進(jìn)行分析，另一種方式就是從一個(gè)同版本可信操作系統(tǒng)下拷貝所有命令到這個(gè)入侵服務(wù)器下某個(gè)路徑，然后在執(zhí)行命令的時(shí)候指定此命令的完整路徑即可，這里采用第二種方法。

　　我們首先查看了系統(tǒng)的登錄日志，查看是否有可疑登錄信息，執(zhí)行如下命令：

　　more /var/log/secure |grep Accepted

　　通過對(duì)命令輸出的查看，有一條日志引起了我們的懷疑：

　　Oct 3 03:10:25 webserver sshd［20701］： Accepted password for mail from 62.17.163.186 port 53349 ssh2

　　這條日志顯示在10月3號(hào)的凌晨3點(diǎn)10分，有個(gè)mail帳號(hào)從62.17.163.186這個(gè)IP成功登錄了系統(tǒng)，mail是系統(tǒng)的內(nèi)置帳號(hào)，默認(rèn)情況下是無法執(zhí)行登錄操作的，而62.17.163.186這個(gè)IP，經(jīng)過查證，是來自愛爾蘭的一個(gè)地址。從mail帳號(hào)登錄的時(shí)間來看，早于此網(wǎng)站服務(wù)器遭受攻擊的時(shí)間。

　　接著查看一下系統(tǒng)密碼文件/etc/shadow，又發(fā)現(xiàn)可疑信息：

　　mail：$1$kCEd3yD6$W1evaY5BMPQIqfTwTVJiX1:15400:0：99999:7：：：

　　很明顯，mail帳號(hào)已經(jīng)被設(shè)置了密碼，并且被修改為可遠(yuǎn)程登錄，之所以使用mail帳號(hào)，猜想可能是因?yàn)槿肭终呦肓粝乱粋€(gè)隱蔽的帳號(hào)，以方便日后再次登錄系統(tǒng)。

　　然后繼續(xù)查看其他系統(tǒng)日志，如/var/log/messages、/var/log/wtmp均為空文件，可見，入侵者已經(jīng)清理了系統(tǒng)日志文件，至于為何沒有清空/var/log/secure文件，就不得而知了。

　　4、尋找攻擊源

　　到目前為止，我們所知道的情況是，有個(gè)mail帳號(hào)曾經(jīng)登錄過系統(tǒng)，但是為何會(huì)導(dǎo)致此網(wǎng)站服務(wù)器持續(xù)對(duì)外發(fā)送數(shù)據(jù)包呢？必須要找到對(duì)應(yīng)的攻擊源，通過替換到此服務(wù)器上的ps命令查看系統(tǒng)目前運(yùn)行的進(jìn)程，又發(fā)現(xiàn)了新的可疑：

　　nobody 22765 1 6 Sep29 ？ 4-00:11:58 .t

　　這個(gè).t程序是什么呢，繼續(xù)執(zhí)行top命令，結(jié)果如下：

　　PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND

　　22765 nobody 15 0 1740m 1362m 1228 S 98.3 91.5 2892:19 .t

　　從輸出可知，這個(gè)t程序已經(jīng)運(yùn)行了4天左右，運(yùn)行這個(gè)程序的是nobody用戶，并且這個(gè)t程序消耗了大量的內(nèi)存和cpu，這也是之前客戶反映的網(wǎng)站服務(wù)器異常緩慢的原因，從這個(gè)輸出，我們得到了t程序的進(jìn)程PID為22765，接下來根據(jù)PID查找下執(zhí)行程序的路徑在哪里：

　　進(jìn)入內(nèi)存目錄，查看對(duì)應(yīng)PID目錄下exe文件的信息：

　?。踨oot@webserver ~］# /mnt/bin/ls -al /proc/22765/exe

　　lrwxrwxrwx 1 root root 0 Sep 29 22:09 /proc/22765/exe -》 /var/tmp/…/apa/t

　　這樣就找到了進(jìn)程對(duì)應(yīng)的完整程序執(zhí)行路徑，這個(gè)路徑很隱蔽，由于/var/tmp目錄默認(rèn)情況下任何用戶可讀性，而入侵者就是利用這個(gè)漏洞在/var/tmp目錄下創(chuàng)建了一個(gè)“…”的目錄，而在這個(gè)目錄下隱藏著攻擊的程序源，進(jìn)入/var/tmp/…/目錄，發(fā)現(xiàn)了一些列入侵者放置的rootkit文件，列表如下：

　?。踨oot@webserver 。。.］#/mnt/bin/ls -al

　　drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 apa

　　-rw-r--r-- 1 nobody nobody 0 Sep 29 22:09 apa.tgz

　　drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 caca

　　drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 haha

　　-rw-r--r-- 1 nobody nobody 0Sep 29 22:10 kk.tar.gz-

　　rwxr-xr-x 1 nobody nobody 0 Sep 29 22:10 login

　　-rw-r--r-- 1 nobody nobody 0 Sep 29 22:10 login.tgz

　　-rwxr-xr-x 1 nobody nobody 0 Sep 29 22:10 z

　　通過對(duì)這些文件的分析，基本判斷這就是我們要找的程序攻擊源，其中：

　　1）、z程序是用來清除系統(tǒng)日志等相關(guān)信息的，例如執(zhí)行：

　　。/z 62.17.163.186

　　這條命令執(zhí)行后，系統(tǒng)中所有與62.17.163.186有關(guān)的日志將全部被清除掉。

　　2）、在apa目錄下有個(gè)后門程序t，這個(gè)就是之前在系統(tǒng)中看到的，運(yùn)行此程序后，此程序會(huì)自動(dòng)去讀apa目錄下的ip這個(gè)文件，而ip這個(gè)文件記錄了各種ip地址信息，猜想這個(gè)t程序應(yīng)該是去掃描ip文件中記錄的所有ip信息，進(jìn)而獲取遠(yuǎn)程主機(jī)的權(quán)限，可見這個(gè)網(wǎng)站服務(wù)器已經(jīng)是入侵者的一個(gè)肉雞了。

　　3）、haha目錄里面放置的就是用來替換系統(tǒng)相關(guān)命令的程序，也就是這個(gè)目錄下的程序使我們無法看到操作系統(tǒng)的異常情況。

　　4）、login程序就是用來替換系統(tǒng)登錄程序的木馬程序，此程序還可以記錄登錄帳號(hào)和密碼。

　　5、查找攻擊原因

　　到這里為止，服務(wù)器上遭受的攻擊已經(jīng)基本清晰了，但是入侵者是如何侵入這臺(tái)服務(wù)器的呢？這個(gè)問題很重要，一定要找到入侵的根源，才能從根本上封堵漏洞。

　　為了弄清楚入侵者是如何進(jìn)入服務(wù)器的，需要了解下此服務(wù)器的軟件環(huán)境，這臺(tái)服務(wù)器是一個(gè)基于java的web服務(wù)器，安裝的軟件有apache2.0.63、tomcat5.5，apache和tomcat之間通過mod_jk模塊進(jìn)行集成，apache對(duì)外開放80端口，由于tomcat沒有對(duì)外開放端口，所以將問題集中到apache上面。

　　通過查看apache的配置發(fā)現(xiàn)，apache僅僅處理些靜態(tài)資源請(qǐng)求，而網(wǎng)頁也以靜態(tài)頁面居多，所以通過網(wǎng)頁方式入侵系統(tǒng)可能性不大，既然漏洞可能來自于apache，那么嘗試查看apache日志，也許能發(fā)現(xiàn)一些可疑的訪問痕跡，通過查看access.log文件，發(fā)現(xiàn)了如下信息：

　　62.17.163.186 - - ［29/Sep/2013:22:17:06 +0800］ “GET http://www.xxx.com/cgi-bin/awstats.pl？configdir=|echo;echo;ps+-aux%00 HTTP/1.0” 200 12333 “-” “Mozilla/5.0 （Windows; U; Windows NT 5.1; pt-BR; rv:1.8.1） Gecko/20121010 Firefox/2.0”

　　62.17.163.186 - - ［29/Sep/213:22:17:35 +0800］ “GET http://www.xxx.com/cgi-bin/awstats.pl？configdir=|echo;echo;cd+/var/tmp/。。./haha;ls+-a%00 HTTP/1.0” 200 1626 “-” “Mozilla/5.0 （Windows; U; Windows NT 5.1; pt-BR; rv:1.8.1） Gecko/20121010 Firefox/2.0”

　　至此，發(fā)現(xiàn)了漏洞的根源，原來是awstats.pl腳本中configdir的一個(gè)漏洞，通過了解此服務(wù)器的應(yīng)用，客戶確實(shí)是通過一個(gè)Awstats的開源插件來做網(wǎng)頁訪問統(tǒng)計(jì)，通過這個(gè)漏洞，攻擊者可以直接在瀏覽器上操作服務(wù)器，例如查看進(jìn)程、創(chuàng)建目錄等。通過上面第二條日志可以看出，攻擊者正常瀏覽器執(zhí)行切換到/var/tmp/。。./haha目錄的操作。

　　這個(gè)腳本漏洞挺可怕的，不過在Awstats官網(wǎng)也早已給出了修補(bǔ)的方法，對(duì)于這個(gè)漏洞，修復(fù)方法很簡(jiǎn)單，打開awstats.pl文件，找到如下信息：

　　if （$QueryString =~ /configdir=（［^&］+）/i）

　　{

　　$DirConfig=&DecodeEncodedString（“$1”）;

　　}

　　修改為如下即可：

　　if （$QueryString =~ /configdir=（［^&］+）/i）

　　{

　　$DirConfig=&DecodeEncodedString（“$1”）;

　　$DirConfig=~tr/a-z0-9_\-\/\。/a-z0-9_\-\/\。/cd;

　　}

　　6、揭開謎團(tuán)