ID:-
本文通過(guò)一個(gè)案例來(lái)介紹一個(gè)戒煙后處理的思路和過(guò)程����。 是體制下最常用的手段和方法���。
1�、被電擊現(xiàn)象
這是托管在中國(guó)聯(lián)通機(jī)房的客戶(hù)門(mén)戶(hù)網(wǎng)站����。 客戶(hù)收到聯(lián)通通知:因公司不斷對(duì)外發(fā)送數(shù)據(jù)包,100MB帶寬用完�����,聯(lián)通斷網(wǎng)���。 本次安裝的是5.5版本的系統(tǒng)��,對(duì)外開(kāi)放了80和22端口��。
我從客戶(hù)那里了解到�����,網(wǎng)站訪問(wèn)量不多�����,所以帶寬占用不會(huì)太高����,絕對(duì)不可能用完100MB帶寬,所以很有可能是被流量了����,所以我登錄做了一個(gè)詳細(xì)的檢查。
二��、初步分析
在聯(lián)通人員的配合下����,我們測(cè)量了網(wǎng)絡(luò)流量,發(fā)現(xiàn)80端口確實(shí)有外部掃描流量���,于是我們登錄系統(tǒng)���,通過(guò)-an命令查看系統(tǒng)開(kāi)放的端口。 奇怪的是�,沒(méi)有檢測(cè)到與端口 80 相關(guān)的網(wǎng)絡(luò)連接。 然后用ps-ef���、top等命令也沒(méi)有發(fā)現(xiàn)什么可疑的地方����。 因此懷疑系統(tǒng)可能已被植入��。
為了驗(yàn)證系統(tǒng)是否被植入�����,我們用之前備份的同版本可信操作系統(tǒng)命令對(duì)網(wǎng)站下的ps����、top等命令進(jìn)行了校準(zhǔn),發(fā)現(xiàn)網(wǎng)站下的這兩條命令確實(shí)被改動(dòng)了, 所以我們可以推斷 , 已經(jīng)安裝, 和程序的安裝級(jí)別��。
3、斷網(wǎng)分析系統(tǒng)
因?yàn)樗恢痹谕獍l(fā)包���,所以首先要做的就是斷網(wǎng)���,然后分析系統(tǒng)日志尋找源頭。 并且系統(tǒng)命令已經(jīng)被替換�,如果繼續(xù)對(duì)這個(gè)系統(tǒng)進(jìn)行操作,就會(huì)顯得不可信�。 有兩種方法可以防止這些情況。 第一種方法是把硬盤(pán)取出來(lái)�,掛載到另一個(gè)安全的硬盤(pán)上進(jìn)行分析。 另一種方法是從相同版本的受信任操作系統(tǒng)復(fù)制它��。 所有的命令都到這個(gè)平臺(tái)下的某個(gè)路徑下��,然后在執(zhí)行命令的時(shí)候指定這個(gè)命令的完整路徑��。 這是第二種方法���。
首先查看系統(tǒng)的登錄日志��,看是否有可疑的登錄信息�����,執(zhí)行如下命令:
更多/var/log/|grep
通過(guò)查看命令輸出��,有一條日志引起了我們的懷疑:
:10:[20701]:.17.163.
該日志顯示�����,10月3日下午3點(diǎn)10分��,一個(gè)IP地址為62.17.163.186的郵件賬號(hào)成功登錄系統(tǒng)���。 Mail是系統(tǒng)的外部賬號(hào),默認(rèn)登錄操作失敗���。 經(jīng)核實(shí)���,62.17.163.186的IP是來(lái)自愛(ài)爾蘭的地址。 從郵件賬號(hào)的登錄時(shí)間來(lái)看�,早于該網(wǎng)站被攻擊的時(shí)間。
然后查看系統(tǒng)文件/etc/��,發(fā)現(xiàn)可疑信息:
郵件:$1$$X1:15400:0:99999:7:::
很明顯�,郵件賬號(hào)已經(jīng)設(shè)置好了,只是改成可以登錄了���。之所以使用郵件賬號(hào)����,推測(cè)是用戶(hù)想留下一個(gè)隱藏賬號(hào),方便登錄系統(tǒng)以后再來(lái)�。
然后繼續(xù)查看其他系統(tǒng)日志,比如/var/log/��、/var/log/wtmp等都是空文件���。 可見(jiàn)作者已經(jīng)清除了系統(tǒng)日志文件����。 至于為什么/var/log/文件沒(méi)有被清除�����,不清楚 明白了�����。
4.找到攻擊源
至此��,我們知道的是之前有一個(gè)郵件賬號(hào)登錄過(guò)系統(tǒng),為什么這個(gè)網(wǎng)站會(huì)不斷的向外界發(fā)送數(shù)據(jù)包呢��? 必須找到對(duì)應(yīng)的來(lái)源����,并在其上替換ps命令用于查看系統(tǒng)當(dāng)前運(yùn)行情況,發(fā)現(xiàn)新的疑點(diǎn):
Sep29?4-00:11:58.t
.t 程序是什么���? 繼續(xù)執(zhí)行top命令,結(jié)果如下:
%CPU%+.391.52892:19.t
從輸出可以看出這個(gè)t程序已經(jīng)運(yùn)行了4天左右�,用戶(hù)正在運(yùn)行這個(gè)程序,但是這個(gè)t程序消耗了大量的顯存和CPU��,這也是導(dǎo)致異常流暢的原因客戶(hù)之前報(bào)告的網(wǎng)站�。 根據(jù)這個(gè)輸出,我們得到t程序的PID為22765����,拿出來(lái)根據(jù)PID找到執(zhí)行程序的路徑。
進(jìn)入顯存目錄��,查看對(duì)應(yīng)PID目錄下的exe文件信息:
[root@~]#/mnt/bin/ls-al/proc/22765/:09/proc/22765/exe->/var/tmp/.../apa/t
這樣就找到了對(duì)應(yīng)的完整程序執(zhí)行路徑����。 這個(gè)路徑非常隱蔽,因?yàn)?var/tmp目錄默認(rèn)是任何用戶(hù)都可以讀取的,而作者就是利用這個(gè)在/var/tmp目錄下創(chuàng)建了一個(gè)“...”�,程序源碼就隱藏在這個(gè)目錄。 進(jìn)入/var/tmp/.../目錄���,找到筆者放置的一系列文件����,列表如下:
[root@...]#/mnt/bin/ls-al
drwxr-xr-:09apa
-rw-r--r--:09apa.tgz
drwxr-xr-:
drwxr-xr-:09哈哈
-rw-r--r--:10kk.tar.gz
-rwxr-xr-:10登錄
-rw-r--r--:.tgz
-rwxr-xr-:10z
通過(guò)分析那些文件���,基本可以推斷出這就是我們要找的程序源��,其中:
1)z程序用于清理系統(tǒng)日志等相關(guān)信息�,如執(zhí)行:
./z62.17.163.186
執(zhí)行該命令后�����,系統(tǒng)中所有與62.17.163.186相關(guān)的日志將被徹底清除���。
2)apa目錄下有一個(gè)程序t�����,就是之前在系統(tǒng)中看到的程序����。 運(yùn)行這個(gè)程序后,這個(gè)程序會(huì)手動(dòng)讀取apa目錄下的ip文件�����,ip文件記錄了各種ip地址信息��。 據(jù)推測(cè)��,這個(gè)t程序應(yīng)該掃描ip文件中記錄的所有ip信息����,以獲得權(quán)限��。 可見(jiàn)�����,該網(wǎng)站長(zhǎng)期以來(lái)一直深受廣大讀者的喜愛(ài)��。
3)haha目錄下放置的程序是用來(lái)替換系統(tǒng)相關(guān)命令的����,也就是說(shuō)這個(gè)目錄下的程序讓我們很難看到操作系統(tǒng)的異常情況。
4)登錄程序是用來(lái)替代系統(tǒng)登錄程序的程序。 本程序還可以記錄登錄帳號(hào)和密碼��。
5.查找攻擊原因
至此�,網(wǎng)上發(fā)生的事情已經(jīng)基本清楚,而攻擊者是如何入侵本站的呢�����? 這個(gè)問(wèn)題很重要��,必須找到癥結(jié)����,才能從根本上堵住。
為了弄清楚用戶(hù)是如何介入的���,有必要了解這里的軟件環(huán)境��。 這是一臺(tái)基于 . 因?yàn)槎丝诓粚?duì)外開(kāi)放���,所以問(wèn)題集中在內(nèi)部。
通過(guò)查看配置���,發(fā)現(xiàn)只處理了部分靜態(tài)資源請(qǐng)求�����,而且大部分網(wǎng)頁(yè)都是靜態(tài)頁(yè)面����,所以不太可能使用網(wǎng)頁(yè)模式系統(tǒng)。 既然可能來(lái)自�,那么如果你嘗試通過(guò)這種方式查看日志,其實(shí)可以發(fā)現(xiàn)一些可疑的訪問(wèn)痕跡��。 通過(guò)查看.log文件��,發(fā)現(xiàn)如下信息:
62.17.163.186--[29/Sep/2013:22:17:06+0800]"GET|echo;echo;ps+-/1.0""-""/5.0(;U;NT5.1;pt- BR;rv:1.8.1) 壁虎//2.0"
62.17.163.186--[29/Sep/213:22:17:35+0800]"GET|echo;echo;cd+/var/tmp/.../haha;ls+-aHTTP/1.0""-"" /5.0(;U;NT5.1;pt-BR;rv:1.8.1)壁虎//2.0"
到目前為止�,發(fā)現(xiàn)的癥結(jié)最初是 .pl 腳本之一。 了解了這個(gè)的應(yīng)用后���,客戶(hù)確實(shí)使用了一個(gè)開(kāi)源的插件來(lái)做網(wǎng)頁(yè)訪問(wèn)統(tǒng)計(jì)。 通過(guò)這個(gè)����,用戶(hù)可以直接在瀏覽器上進(jìn)行操作服務(wù)器運(yùn)維,比如查看服務(wù)器運(yùn)維�����,創(chuàng)建目錄等。從里面的第二條日志可以看出��,用戶(hù)在普通瀏覽器中切換到了/var/tmp/.../haha目錄執(zhí)行�。
這個(gè)腳本很爛,但是官網(wǎng)上已經(jīng)給出了修復(fù)方法���。 為此�,打補(bǔ)丁的方法非常簡(jiǎn)單�����。 打開(kāi).pl文件�,找到如下信息:
如果 ($=~/=([^&]+)/i)
{
$=&("$1");
}
將其更改為以下內(nèi)容:
如果 ($=~/=([^&]+)/i)
{
$=&("$1");$=~tr/a-z0-9_-/./a-z0-9_-/./cd;
}
6.解謎
通過(guò)上面的逐步分析和介紹,這次相遇的原因和過(guò)程早就很清楚了����。 大致流程如下:
1)用戶(hù)通過(guò)腳本.pl文件進(jìn)入系統(tǒng),在/var/tmp目錄下創(chuàng)建一個(gè)隱藏目錄���,然后將文件傳送到該路徑下���。
2)攻擊者通過(guò)植入程序,獲得了系統(tǒng)的超級(jí)用戶(hù)權(quán)限�����,從而控制了這臺(tái)電腦,并通過(guò)這臺(tái)電腦向外發(fā)送數(shù)據(jù)包���。
3)作者的IP地址62.17.163.186可能是代理過(guò)來(lái)的��,也可能是作者控制的其他人���。
4) 用戶(hù)為了永久控制本機(jī),更改了系統(tǒng)默認(rèn)帳號(hào)mail的信息�����,更改了郵件帳號(hào)登錄����,但是設(shè)置了郵件帳號(hào)。
5)完成后����,作者通過(guò)程序手動(dòng)清除了系統(tǒng)訪問(wèn)日志����,銷(xiāo)毀了證據(jù)���。
通過(guò)對(duì)這個(gè)過(guò)程的分析,發(fā)現(xiàn)者的方法是非常簡(jiǎn)單和通用的�。 雖然攻擊者刪除了部分系統(tǒng)日志,但仍然留下了很多可查的痕跡�����。 雖然您也可以查看 . 用戶(hù)下的文件����,這個(gè)文件是用戶(hù)操作命令的歷史記錄。
七����、如何恢復(fù)網(wǎng)站
由于系統(tǒng)已經(jīng)被改換過(guò),系統(tǒng)已經(jīng)完全不可信任���,所以建議備份網(wǎng)站數(shù)據(jù)�����,重裝系統(tǒng)����。 基本步驟如下:
1)安裝穩(wěn)定版操作系統(tǒng),刪除系統(tǒng)默認(rèn)和不需要的用戶(hù)�。
2) 系統(tǒng)登錄表單改為私鑰認(rèn)證方式,避免了認(rèn)證的缺陷��。
3) 安裝更高版本和最新的穩(wěn)定版程序�����。
4)使用以下限制登錄的源地址��。
是系統(tǒng)下比較常用的方法����,雖然這種比較是防不勝防的,而且已經(jīng)有很多可測(cè)量的工具�����,比如���,等等��,可以用來(lái)測(cè)量系統(tǒng)是否被感染。
售前咨詢(xún)專(zhuān)員
