起因

最近我們的一臺Ubuntu阿里云服務器一直提示有肉雞行為，提示了好幾天，開始并沒有關注，然后連續(xù)幾天后發(fā)現(xiàn)應該是個大問題啊。很可能服務被侵入了!!!

尋找線索

一開始我是完全懵逼的狀態(tài)的，Linux不是很熟悉，只會簡單的命令，安裝部署redis，mongo這些東西。好吧，只能百度Google了！

尋找可疑進程

ps -ef

然而結果看起來一點頭緒都沒，非常不熟悉Linux底下常見的進程！

尋找相關的Log線索

Linux里有非常的多的日志文件，統(tǒng)一都存放在/var/log底下，這里我想先看看是不是有人破解了賬號入侵了服務器

cat /var/log/faillog --登陸失敗日志

cat /var/log/auth.log --驗證日志

確實發(fā)現(xiàn)了一些蛛絲馬跡（解決完后發(fā)現(xiàn)可能并非如此，暫時還沒有研究下去）

在auth.log中發(fā)現(xiàn)了大量的Failed，這說明有人在嘗試暴力破解密碼,最可疑的是大量的session opened for user root by (uid=0)（開始我覺得是入侵進去了？）。百度了下，發(fā)現(xiàn)幾個線索：

阿里云官方發(fā)布了臟牛漏洞的公告https://bbs.aliyun.com/read/297492.html

一篇黑客對決http://ruby-china.org/topics/23848

仔細看了下之后發(fā)現(xiàn)，臥槽！黑客對決這篇和我的情況如出一轍啊~前幾天為了部署ExceptionLess，遷移ElasticSearch到Linux。并沒有注意El的安全性啊。

尋找木馬

再一次查看進程，這次有文檔幫助，有了大致的了解，并且拿另外一臺Linux服務器的進程做了一次對比。立馬定位到了可疑進程。

通過elastic+ 啟動的這幾個進程顯然是木馬進程，依據(jù)上邊的文檔，可以初步說明木馬沒有取得root權限，而運行在elastic的用戶權限底下。

找到了進程，怎么找到文件？百度！

cd /proc/31598
ls -l exe

臥槽還刪除了！不過也定位到可疑的地方/tmp
立即去/tmp查看

這些文件應該就是木馬了，down下來打開看了下，確實是木馬！也百度到了一些信息，這些就是肉雞程序了！文檔

干掉木馬

找到了木馬，最后就要干掉它，不過謹慎起見我還是做了一些其他的功課，防止隨意殺掉之后，造成木馬的更大破壞。（然而也就是百度了下，發(fā)現(xiàn)Linux只是太薄弱）

停止ElasticSearch

service elasticsearch stop

更換ElasticSearch配置，這是這個漏洞的關鍵！

script.disable_dynamic: true --從flase改成true

我在想這樣的一個動態(tài)腳本能力是怎么考慮的？妥妥的漏洞啊，就像上次的Redis默認無安全驗證問題一樣?。。?！

刪掉temp

rm -rf /tmp

我這是很憤怒的！不過沖動是魔鬼，rm -rf請慎重！?。≌麄€服務器刪掉的悲傷故事就是它惹的。

批量殺掉進程

kill -9 $(ps -ef | grep elastic | grep -v grep | awk '{print $2}')

重新查看下進程列表 確保木馬不重啟

ps -ef

結果看起來是樂觀的，不過是不是真的殺掉了？還需要時間的檢驗了？
重啟Elastichsearch

service elasticearch start
為了更安全起見，服務器都加強了密碼，還用ClamAV掃了一遍。

續(xù)集？？ 希望不要有續(xù)集了?。?！

總結

這次的安全事故，我想大概像我這樣的Linux新手不在少數(shù)，隨著.NET的跨平臺，大量的.NET應用會依賴更多的linux環(huán)境組件，Linux的應用安全一定也是需要更受我們重視的(雖然Linux不是在業(yè)界號稱比Windows安全嘛，不過Linux應該會說這是Elasticsearch的鍋?。。。?

以上所述是小編給大家介紹的Ubuntu服務器被黑經(jīng)歷，希望對大家有所幫助，如果大家有任何疑問請給我留言，小編會及時回復大家的。在此也非常感謝大家對腳本之家網(wǎng)站的支持！

最新評論