快捷導(dǎo)航

記一次Ubuntu服務(wù)器被黑經(jīng)歷

更新時(shí)間：2016年11月15日 17:15:05 作者：筍干

最近我們的一臺(tái)Ubuntu阿里云服務(wù)器一直提示有肉雞行為，提示了好幾天，開(kāi)始并沒(méi)有關(guān)注，然后連續(xù)幾天后發(fā)現(xiàn)應(yīng)該是個(gè)大問(wèn)題啊，很可能服務(wù)被侵入了。下面通過(guò)本文給大家分享下詳情

起因

最近我們的一臺(tái)Ubuntu阿里云服務(wù)器一直提示有肉雞行為，提示了好幾天，開(kāi)始并沒(méi)有關(guān)注，然后連續(xù)幾天后發(fā)現(xiàn)應(yīng)該是個(gè)大問(wèn)題啊。很可能服務(wù)被侵入了!!!

尋找線索

一開(kāi)始我是完全懵逼的狀態(tài)的，Linux不是很熟悉，只會(huì)簡(jiǎn)單的命令，安裝部署redis，mongo這些東西。好吧，只能百度Google了！

尋找可疑進(jìn)程

ps -ef

然而結(jié)果看起來(lái)一點(diǎn)頭緒都沒(méi)，非常不熟悉Linux底下常見(jiàn)的進(jìn)程！

尋找相關(guān)的Log線索

Linux里有非常的多的日志文件，統(tǒng)一都存放在/var/log底下，這里我想先看看是不是有人破解了賬號(hào)入侵了服務(wù)器

cat /var/log/faillog --登陸失敗日志

cat /var/log/auth.log --驗(yàn)證日志

確實(shí)發(fā)現(xiàn)了一些蛛絲馬跡（解決完后發(fā)現(xiàn)可能并非如此，暫時(shí)還沒(méi)有研究下去）

在auth.log中發(fā)現(xiàn)了大量的Failed，這說(shuō)明有人在嘗試暴力破解密碼,最可疑的是大量的session opened for user root by (uid=0)（開(kāi)始我覺(jué)得是入侵進(jìn)去了？）。百度了下，發(fā)現(xiàn)幾個(gè)線索：

阿里云官方發(fā)布了臟牛漏洞的公告https://bbs.aliyun.com/read/297492.html

一篇黑客對(duì)決http://ruby-china.org/topics/23848

仔細(xì)看了下之后發(fā)現(xiàn)，臥槽！黑客對(duì)決這篇和我的情況如出一轍啊~前幾天為了部署ExceptionLess，遷移ElasticSearch到Linux。并沒(méi)有注意El的安全性啊。

尋找木馬

再一次查看進(jìn)程，這次有文檔幫助，有了大致的了解，并且拿另外一臺(tái)Linux服務(wù)器的進(jìn)程做了一次對(duì)比。立馬定位到了可疑進(jìn)程。

通過(guò)elastic+ 啟動(dòng)的這幾個(gè)進(jìn)程顯然是木馬進(jìn)程，依據(jù)上邊的文檔，可以初步說(shuō)明木馬沒(méi)有取得root權(quán)限，而運(yùn)行在elastic的用戶權(quán)限底下。

找到了進(jìn)程，怎么找到文件？百度！

cd /proc/31598
ls -l exe

臥槽還刪除了！不過(guò)也定位到可疑的地方/tmp
立即去/tmp查看

這些文件應(yīng)該就是木馬了，down下來(lái)打開(kāi)看了下，確實(shí)是木馬！也百度到了一些信息，這些就是肉雞程序了！文檔

干掉木馬

找到了木馬，最后就要干掉它，不過(guò)謹(jǐn)慎起見(jiàn)我還是做了一些其他的功課，防止隨意殺掉之后，造成木馬的更大破壞。（然而也就是百度了下，發(fā)現(xiàn)Linux只是太薄弱）

停止ElasticSearch

service elasticsearch stop

更換ElasticSearch配置，這是這個(gè)漏洞的關(guān)鍵！

script.disable_dynamic: true --從flase改成true

我在想這樣的一個(gè)動(dòng)態(tài)腳本能力是怎么考慮的？妥妥的漏洞啊，就像上次的Redis默認(rèn)無(wú)安全驗(yàn)證問(wèn)題一樣啊！??！

刪掉temp

rm -rf /tmp

我這是很憤怒的！不過(guò)沖動(dòng)是魔鬼，rm -rf請(qǐng)慎重?。。≌麄€(gè)服務(wù)器刪掉的悲傷故事就是它惹的。

批量殺掉進(jìn)程

kill -9 $(ps -ef | grep elastic | grep -v grep | awk '{print $2}')

重新查看下進(jìn)程列表確保木馬不重啟

ps -ef

結(jié)果看起來(lái)是樂(lè)觀的，不過(guò)是不是真的殺掉了？還需要時(shí)間的檢驗(yàn)了？
重啟Elastichsearch

service elasticearch start
為了更安全起見(jiàn)，服務(wù)器都加強(qiáng)了密碼，還用ClamAV掃了一遍。

續(xù)集？？希望不要有續(xù)集了?。?！

總結(jié)

這次的安全事故，我想大概像我這樣的Linux新手不在少數(shù)，隨著.NET的跨平臺(tái)，大量的.NET應(yīng)用會(huì)依賴更多的linux環(huán)境組件，Linux的應(yīng)用安全一定也是需要更受我們重視的(雖然Linux不是在業(yè)界號(hào)稱比Windows安全嘛，不過(guò)Linux應(yīng)該會(huì)說(shuō)這是Elasticsearch的鍋?。。?！)

以上所述是小編給大家介紹的Ubuntu服務(wù)器被黑經(jīng)歷，希望對(duì)大家有所幫助，如果大家有任何疑問(wèn)請(qǐng)給我留言，小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)腳本之家網(wǎng)站的支持！

您可能感興趣的文章: