from:
http://trac.nchc.org.tw/grid/wiki/jazz/10-08-03http://www.604f.com/read.php?16
Linux : System Security
- 最近幫陽明管的機器接連遭受 ssh 入侵攻擊,並發現系統在執行 scanssh 的程式。從 Are these scan logs dangerous ? 這篇文章中學到原來可以用 debsums 檢查檔案 md5sum 正不正確,就來測試一下。
# apt-get install debsums # debsums -c
- debsums -c 會顯示出有被竄改過,而且是 deb 套件中的檔案。因為這樣跑才發現原來系統的 /usr/bin/ssh 跟 /usr/sbin/sshd 都被改過。所以重裝 openssh-client 跟 openssh-server 把被竄改過的 binary 蓋掉。
# apt-get --reinstall install openssh-client openssh-server
- 另外跑 rkhunter 的時候看到兩個 warning 關於 /usr/bin/unhide 這個指令,原來是可以拿來檢查是否有隱藏在 proc, sys 或者隱藏的 TCP/UDP 連線。當安裝 rkhunter 的時候也會安裝 unhide 套件,所以不用過度擔心那個 warning。
# /usr/bin/unhide-linux26 proc # /usr/bin/unhide-linux26 sys # /usr/bin/unhide-tcp
- 這是留給自己找這篇常用的關鍵字:
dpkg md5
-----------------------------------------------------------------------------------------------------
服務器被入侵執行scanssh記錄 (884)
05:14 , 引用(0) Via本站原創
早上我的小小blog網站訪問IP約等於10,居然入口5M流量,非常疑惑上去服務器查看,N多美國的機器用22端口不斷在請求我的服務器.這到底是為啥呢,這幾天服務器老是不正常,心疼流量故先封了這些IP的請求.
N多連接
173.230.147.201:55660 72.5.168.142:22
173.230.147.201:47771 72.2.47.5:22
173.230.147.201:58270 72.2.5.210:22
173.230.147.201:59574 72.3.133.219:22
173.230.147.201:56953 72.2. 217.55:22
173.230.147.201:50046 72.1.114.119:22 封IP段iptables -A INPUT -s 72.0.0.0/8 -j DROP
流量算是恢復正常了,繼續工作暫時沒去理他.
下午的時候靈異事件又來了,收到linode郵件告警cpu使用超過閾值.
"Your Linode, spider, has exceeded the notification threshold (90) for CPU Usage by averaging 101.0% for the last 2 hours."
NND我日均10IP的blog,cpu使用會有這高,上服務器看看去,終於被我挖出一個驚天大黑幕.
有個異常進程scanssh.使用strace -p進程號,查看該進程,有大量語句刷出來可惜忘了記錄下來,繼續走找到scanssh的腳本文件.使用的是postfix的一個賬號管理工具賬號cyrus.去到/var/tmp下面一看,好傢伙第2個目錄進去還的用空格轉意符號.
[root@li157-201 tmp]# ls -la
total 16
drwxrwxrwt 4 root root 4096 Dec 6 18:03 .
drwxr-xr-x 3 76 mail 4096 Dec 6 18:03 .
drwxr-xr-x 2 76 mail 4096 Dec 5 07:14 .,.
drwxr-xr-x 20 root root 4096 Nov 5 11:02 .. [root@li157-201 . ]# ls -la total 12 drwxr-xr-x 3 76 mail 4096 Dec 6 18: 03 . drwxrwxrwt 4 root root 4096 Dec 6 18:03 .. drwxr-xr-x 2 76 mail 4096 Dec 7 15:47 .eyes
進來看裡面有些shell都是一個循環然後執行scanssh,但是scanssh這個腳本進去時亂碼編譯過的文件,沒法查看.直接刪了這些東西.
我之前在公司也碰到過一次被人入侵服務器,然後在我機器上執行腳本通過字典去破解其他人的服務器.
N多連接
173.230.147.201:55660 72.5.168.142:22
173.230.147.201:47771 72.2.47.5:22
173.230.147.201:58270 72.2.5.210:22
173.230.147.201:59574 72.3.133.219:22
173.230.147.201:56953 72.2. 217.55:22
173.230.147.201:50046 72.1.114.119:22 封IP段iptables -A INPUT -s 72.0.0.0/8 -j DROP
流量算是恢復正常了,繼續工作暫時沒去理他.
下午的時候靈異事件又來了,收到linode郵件告警cpu使用超過閾值.
"Your Linode, spider, has exceeded the notification threshold (90) for CPU Usage by averaging 101.0% for the last 2 hours."
NND我日均10IP的blog,cpu使用會有這高,上服務器看看去,終於被我挖出一個驚天大黑幕.
有個異常進程scanssh.使用strace -p進程號,查看該進程,有大量語句刷出來可惜忘了記錄下來,繼續走找到scanssh的腳本文件.使用的是postfix的一個賬號管理工具賬號cyrus.去到/var/tmp下面一看,好傢伙第2個目錄進去還的用空格轉意符號.
[root@li157-201 tmp]# ls -la
total 16
drwxrwxrwt 4 root root 4096 Dec 6 18:03 .
drwxr-xr-x 3 76 mail 4096 Dec 6 18:03 .
drwxr-xr-x 2 76 mail 4096 Dec 5 07:14 .,.
drwxr-xr-x 20 root root 4096 Nov 5 11:02 .. [root@li157-201 . ]# ls -la total 12 drwxr-xr-x 3 76 mail 4096 Dec 6 18: 03 . drwxrwxrwt 4 root root 4096 Dec 6 18:03 .. drwxr-xr-x 2 76 mail 4096 Dec 7 15:47 .eyes
進來看裡面有些shell都是一個循環然後執行scanssh,但是scanssh這個腳本進去時亂碼編譯過的文件,沒法查看.直接刪了這些東西.
我之前在公司也碰到過一次被人入侵服務器,然後在我機器上執行腳本通過字典去破解其他人的服務器.
沒有留言:
張貼留言