记录网盾服务器被黑过程的排查和思考：续集

wrjc1hod

昨天说到了查询木马文件，那样今天的任务便是删除木马文件，修复系统。

3、删除木马文件

1）修改authorized_keys

先删除authorized_keys文件里的公钥。

当我执行 rm 命令的时候，我发掘入侵者在我的authorized_keys文件里加了+i锁，不准许删除，还挺聪明的小家伙：

chattr +i /etc/authorized_keys /*文件不可删除、更改、移动*/

玛德，这是人干的事？

我继续查看，服务器的chattr命令亦被删除了， 重视：删除chattr针对服务器来讲，是被黑的第1步。

我晓得的，查不到chattr命令：

这儿咱们只能尝试手动安装chattr，centos安装过程如下：

yum install e2fsprogs

而后：

接着清空authorized_keys文件：

2）用rm命令删除木马文件

put to death并删除已然发掘的木马文件：

这个时候会发掘CPU的运用频率没之前那样多了：

垃圾文件清理完毕，禁用秘码登录，改用生成的秘钥登录。

这儿能够先喘口气，看会儿小电影。

4、确定攻击源头——Redis

打开Redis的时候，会发掘各样奇怪的键值。（果然技术在进步，攻击亦在学习啊）

这个问题亦是最容易被忽略的：

哎，失策了。Redis的端口开放了且无秘码……

虽然我亦不晓得他怎么晓得找到我的服务器的，然则这个crackit看起来怪怪的。

我查阅了有些资料：

2015年11月10日，有网络安全厂商指出国内互联网产生了海量针对Redis数据库服务器的扫描流量，其中有不少Redis服务器的数据库被清空，且

/root/.ssh/authorized_keys文件被创建或改写，入侵者能够获取受影响服务器的完全掌控权限。由于受影响的Redis服务器的数据库被清空，但留存有一条键名为crackit的记录，因此呢这次事件被命名为Redis Crackit入侵事件。

简单的描述便是redis在用户目录写入一个ssh私钥文件，从而创立一个信任关系，这般不需要输入ssh秘码就能够登入。

总结来讲，我的服务器有可能不是由于暴力撞库登录，而是经过Redis。

用top命令来检测一下……忒么的，木马文件又来了……看来Redis不清理干净，这个文件会始终徘徊在我身边……

等一下，kswapd0似曾相识？

kswapd0过高是由于理学内存不足，运用swap分区与内存换页操作交换数据，致使CPU占用过高。

kswapd0是个小东西，背面的真实功效是执行木马文件： /tmp/.x25-unix/.rsynckswapd0

因此说不根除Redis，入侵者下次还能够用Redis的漏洞搞我的网盾服务器……（说实话，心好累）

实质上的kswapd0进程是这般的：

我特意执行Redis的时候截了图：

下载的是一个pm.sh脚本，打开它：

看似是一个sh脚本，实质上是一个png文件，还有可执行的权限。

能够直接下载下来给权限，并执行。 /.png

能够看出有一个bin脚本，删除，录入到/usr/bin里。

让他跑起来，不要停。

这过程chattr会被删除，authorized_keys文件被修改

最后执行的是 /usr/bin/kswaped这个脚本，起始找好东西。

再用top查看一下CPU利用率，又回到100%的状态。真是见鬼……

抓鸭子啊抓鸭子：

记住104.27.129.57 这个美国的CDN节点，摸着西瓜找藤子（不对说反了？）导出抓到的WirteShark包瞧瞧：

源IP请看红色部分，还能够看到请求数据库的操作（端口3306）。

难不成我服务器还有DDoS攻击？为了守护我的网络安全，网盾的客服始终让我赶紧处理……

分布式拒绝服务攻击能够使非常多的计算机在同一时间遭受到攻击，使攻击的目的没法正常运用，分布式拒绝服务攻击已然显现了非常多次，引起非常多的大型网站都显现了没法进行操作的状况，这般不仅会影响用户的正常运用，同期导致的经济损失亦是非常巨大的。

分布式拒绝服务攻击方式在进行攻击的时候，能够对源IP位置进行伪造，这般就使得这种攻击在出现的时候隐蔽性是非常好的，同期要对攻击进行检测亦是非常困难的，因此呢这种攻击方式亦作为了非常难以防范的攻击。

5、预防针

服务器之因此被攻击，还是由于暴露的公网端口太多了，尤其是Redis6789、MySQL3306这种，当然了，秘码过于简单亦占了很大的原由。

按照我的经验来给你打个预防针：

1）服务器

修改 /etc/ssh/sshd_config文件

不准许秘码登录，仅有秘钥才可登录更改ssh默认端口，防止显现暴力撞库root账户没法直接登陆，仅有特定IP才能够拜访

如：

2）应用

Redis只能本地拜访，修改默认端口，不是所有IP都可见；MySQL仅对特定IP开放拜访权限；设置端口的防火墙规则；

当然了，你还能够运用跳板机、堡垒机拜访。

3）备份

这玩意儿就和救命稻草同样的，一旦不小心操作，你能够备份恢复数据。当然了，必定要设置定时。

这期的分享就到这儿，期盼大众在平时的运用中重视操作规则，守护好自己的网络安全。