记录网盾服务器被黑过程的排查和思考：续集-外链论坛

wrjc1hod 发表于 2024-8-22 14:44:13

记录网盾服务器被黑过程的排查和思考：续集

昨天说到了查询木马文件，那样今天的任务便是删除木马文件，修复系统。
<h1 style="color: black; text-align: left; margin-bottom: 10px;">3、删除木马文件</h1>
1）修改authorized_keys
先删除authorized_keys文件里的公钥。
当我执行 rm 命令的时候，我发掘入侵者在我的authorized_keys文件里加了+i锁，不准许删除，还挺聪明的小家伙：
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/426da819b21a4aefac0fa3dad56864f0~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1724865421&x-signature=P2NvyG8CFGbqw5EjwXCGljbi3T8%3D" style="width: 50%; margin-bottom: 20px;"></div>
chattr +i /etc/authorized_keys /*文件不可删除、更改、移动*/
玛德，这是人干的事？
我继续查看，服务器的chattr命令亦被删除了， 重视：删除chattr针对服务器来讲，是被黑的第1步。
我晓得的，查不到chattr命令：
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/eda64cd3f9cb4712b431fc7f94483589~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1724865421&x-signature=9eJ%2ByviPrY%2Fm5qk1rfDJoH%2Fxlvc%3D" style="width: 50%; margin-bottom: 20px;"></div>
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/cb9f14a735f640c196d2d08f2edb2b7e~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1724865421&x-signature=5hMxeleQB%2B681id%2B4XgrC9Lca%2FA%3D" style="width: 50%; margin-bottom: 20px;"></div>
这儿咱们只能尝试手动安装chattr，centos安装过程如下：yum install e2fsprogs<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p6-sign.toutiaoimg.com/pgc-image/fb973f2ae1ca4f41a438dfd3476fd8fc~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1724865421&x-signature=34sivNByUGUQIERC4QDMlhDohKA%3D" style="width: 50%; margin-bottom: 20px;"></div>
而后：
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/31f70787a1d1412583715ac24321718f~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1724865421&x-signature=PqirUPhApBfh2P6O3sd%2FhQ0rc%2F8%3D" style="width: 50%; margin-bottom: 20px;"></div>
接着清空authorized_keys文件：
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/659e9c06a4a94f09a080046c4046b4b3~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1724865421&x-signature=MEnMkFyjoLZWx5jNob5gwFrdIuk%3D" style="width: 50%; margin-bottom: 20px;"></div>
2）用rm命令删除木马文件
put to death并删除已然发掘的木马文件：
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/12c9b1d640164060a9826a395db92689~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1724865421&x-signature=ZTJLGvWGRrqB9QxPedM%2FRZ5%2BcnU%3D" style="width: 50%; margin-bottom: 20px;"></div>
这个时候会发掘CPU的运用频率没之前那样多了：
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/606852d06e2c4c49945eaa8d41843aa6~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1724865421&x-signature=YE7fS8HWcZApHiK568S28RUEuHU%3D" style="width: 50%; margin-bottom: 20px;"></div>
垃圾文件清理完毕，禁用秘码登录，改用生成的秘钥登录。
这儿能够先喘口气，看会儿小电影。
<h1 style="color: black; text-align: left; margin-bottom: 10px;">4、确定攻击源头——Redis</h1>
打开Redis的时候，会发掘各样奇怪的键值。（果然技术在进步，攻击亦在学习啊）
这个问题亦是最容易被忽略的：
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/38025e1ae4c6467f8b1a420d3267c2ec~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1724865421&x-signature=H%2Fb8f9X73FeUrRzBocqzXF3ikKw%3D" style="width: 50%; margin-bottom: 20px;"></div>
哎，失策了。Redis的端口开放了且无秘码……
虽然我亦不晓得他怎么晓得找到我的服务器的，然则这个crackit看起来怪怪的。
我查阅了有些资料：
2015年11月10日，有网络安全厂商指出国内互联网产生了海量针对Redis数据库服务器的扫描流量，其中有不少Redis服务器的数据库被清空，且/root/.ssh/authorized_keys文件被创建或改写，入侵者能够获取受影响服务器的完全掌控权限。由于受影响的Redis服务器的数据库被清空，但留存有一条键名为crackit的记录，因此呢这次事件被命名为Redis Crackit入侵事件。
简单的描述便是redis在用户目录写入一个ssh私钥文件，从而创立一个信任关系，这般不需要输入ssh秘码就能够登入。
总结来讲，我的服务器有可能不是由于暴力撞库登录，而是经过Redis。
用top命令来检测一下……忒么的，木马文件又来了……看来Redis不清理干净，这个文件会始终徘徊在我身边……
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/eb634be8015348c8a0088bf8ef08625c~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1724865421&x-signature=ARsulhD%2BNzA%2FuPu2smPlPvRA524%3D" style="width: 50%; margin-bottom: 20px;"></div>
等一下，kswapd0似曾相识？
kswapd0过高是由于理学内存不足，运用swap分区与内存换页操作交换数据，致使CPU占用过高。
kswapd0是个小东西，背面的真实功效是执行木马文件： /tmp/.x25-unix/.rsynckswapd0
因此说不根除Redis，入侵者下次还能够用Redis的漏洞搞我的网盾服务器……（说实话，心好累）
实质上的kswapd0进程是这般的：
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/07b3380b9fd740059a55f73603aa24ef~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1724865421&x-signature=0iwEgOpPqRT2jAP5Q71JjxH8Wsw%3D" style="width: 50%; margin-bottom: 20px;"></div>
我特意执行Redis的时候截了图：
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p26-sign.toutiaoimg.com/pgc-image/b7f654f581e84bfbad4733a953483d0c~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1724865421&x-signature=OOWHl1nEslt1P82NR426vApYOjM%3D" style="width: 50%; margin-bottom: 20px;"></div>
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/21617dcd0fa44a6089fa3637e26867cc~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1724865421&x-signature=7iKmnfXJRjRYt17aKXEDF2iok7A%3D" style="width: 50%; margin-bottom: 20px;"></div>
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/e920c394f9be4e479efb9d0fe4604f67~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1724865421&x-signature=nIj64IZgtQ1cxVo9H2fQrS8YvYU%3D" style="width: 50%; margin-bottom: 20px;"></div>
下载的是一个pm.sh脚本，打开它：
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/2c43bce57d514d61afcf4829325de82d~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1724865421&x-signature=8NwFtvoYt65B9cH5eRjdCN38Wpc%3D" style="width: 50%; margin-bottom: 20px;"></div>
看似是一个sh脚本，实质上是一个png文件，还有可执行的权限。
能够直接下载下来给权限，并执行。 /.png
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/fcb19cce2c4943a28118bc7787d32dc6~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1724865421&x-signature=fE0tW1paI9P1PR45ZHZ0QjtaffM%3D" style="width: 50%; margin-bottom: 20px;"></div>
能够看出有一个bin脚本，删除，录入到/usr/bin里。
让他跑起来，不要停。
这过程chattr会被删除，authorized_keys文件被修改
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/af93a68dfa474c80a15dbf7db61c6a44~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1724865421&x-signature=79%2BKUWQxrEwS34xnSmieQM2r62A%3D" style="width: 50%; margin-bottom: 20px;"></div>
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/8ba1338d643749499c5a78fbdf72df61~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1724865421&x-signature=7k9k6C6rdThBAbW3dSmVdXaMiEk%3D" style="width: 50%; margin-bottom: 20px;"></div>
最后执行的是 /usr/bin/kswaped这个脚本，起始找好东西。
再用top查看一下CPU利用率，又回到100%的状态。真是见鬼……
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/a9b7b46c6dee46f29540328d352ac733~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1724865421&x-signature=O8U34OJZ4%2FC5KlSddgPkRalzDbQ%3D" style="width: 50%; margin-bottom: 20px;"></div>
抓鸭子啊抓鸭子：
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/e13376e0d89f48dc9a5b7b7d37c9536a~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1724865421&x-signature=tUJhWTQNiydqcAI4%2FxHwvBOg8HM%3D" style="width: 50%; margin-bottom: 20px;"></div>
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/2f703e8b6b85449f93efa98330051e9d~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1724865421&x-signature=SHf8ywuzDsJl5vNghOTK2fA%2FhyE%3D" style="width: 50%; margin-bottom: 20px;"></div>
记住104.27.129.57 这个美国的CDN节点，摸着西瓜找藤子（不对说反了？）导出抓到的WirteShark包瞧瞧：
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/a23060ef807046f99aa3346b2c886adb~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1724865421&x-signature=%2BPakefxV%2FkRaKKEfcj8aZATCuew%3D" style="width: 50%; margin-bottom: 20px;"></div>
源IP请看红色部分，还能够看到请求数据库的操作（端口3306）。
难不成我服务器还有DDoS攻击？为了守护我的网络安全，网盾的客服始终让我赶紧处理……
分布式拒绝服务攻击能够使非常多的计算机在同一时间遭受到攻击，使攻击的目的没法正常运用，分布式拒绝服务攻击已然显现了非常多次，引起非常多的大型网站都显现了没法进行操作的状况，这般不仅会影响用户的正常运用，同期导致的经济损失亦是非常巨大的。
分布式拒绝服务攻击方式在进行攻击的时候，能够对源IP位置进行伪造，这般就使得这种攻击在出现的时候隐蔽性是非常好的，同期要对攻击进行检测亦是非常困难的，因此呢这种攻击方式亦作为了非常难以防范的攻击。
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/cdff9f8ebe224bf99cbef7cac427f0a3~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1724865421&x-signature=6ovtyjFEbgtSTWyK%2FxvHQ0Zcjp4%3D" style="width: 50%; margin-bottom: 20px;"></div>
<h1 style="color: black; text-align: left; margin-bottom: 10px;">5、预防针</h1>
服务器之因此被攻击，还是由于暴露的公网端口太多了，尤其是Redis6789、MySQL3306这种，当然了，秘码过于简单亦占了很大的原由。
按照我的经验来给你打个预防针：
1）服务器
修改 /etc/ssh/sshd_config文件不准许秘码登录，仅有秘钥才可登录更改ssh默认端口，防止显现暴力撞库root账户没法直接登陆，仅有特定IP才能够拜访
如：
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/49667629435647ecbbe1b13b9b0e6070~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1724865421&x-signature=AWaaJw0TpDD65eOFpXUIERaevyE%3D" style="width: 50%; margin-bottom: 20px;"></div>
2）应用Redis只能本地拜访，修改默认端口，不是所有IP都可见；MySQL仅对特定IP开放拜访权限；设置端口的防火墙规则；当然了，你还能够运用跳板机、堡垒机拜访。

3）备份
这玩意儿就和救命稻草同样的，一旦不小心操作，你能够备份恢复数据。当然了，必定要设置定时。
这期的分享就到这儿，期盼大众在平时的运用中重视操作规则，守护好自己的网络安全。

4zhvml8 发表于 2024-9-26 04:45:34

太棒了、厉害、为你打call、点赞、非常精彩等。

nykek5i 发表于 2024-10-5 09:05:48

seo常来的论坛，希望我的网站快点收录。

1fy07h 发表于 2024-11-10 16:55:44

期待更新、坐等、迫不及待等。

qzmjef 发表于 2024-11-11 08:46:47

回顾历史，我们不难发现：无数先辈用鲜血和生命铺就了中华民族复兴的康庄大道。

页: [1]

外链论坛's Archiver

记录网盾服务器被黑过程的排查和思考：续集