|
昨天说到了查询木马文件,那样今天的任务便是删除木马文件,修复系统。
3、删除木马文件
1)修改authorized_keys
先删除authorized_keys文件里的公钥。
当我执行 rm 命令的时候,我发掘入侵者在我的authorized_keys文件里加了+i锁,不准许删除,还挺聪明的小家伙:
chattr +i /etc/authorized_keys /*文件不可删除、更改、移动*/
玛德,这是人干的事?
我继续查看,服务器的chattr命令亦被删除了, 重视:删除chattr针对服务器来讲,是被黑的第1步。
我晓得的,查不到chattr命令:
这儿咱们只能尝试手动安装chattr,centos安装过程如下: yum install e2fsprogs
而后:
接着清空authorized_keys文件:
2)用rm命令删除木马文件
put to death并删除已然发掘的木马文件:
这个时候会发掘CPU的运用频率没之前那样多了:
垃圾文件清理完毕,禁用秘码登录,改用生成的秘钥登录。
这儿能够先喘口气,看会儿小电影。
4、确定攻击源头——Redis
打开Redis的时候,会发掘各样奇怪的键值。(果然技术在进步,攻击亦在学习啊)
这个问题亦是最容易被忽略的:
哎,失策了。Redis的端口开放了且无秘码……
虽然我亦不晓得他怎么晓得找到我的服务器的,然则这个crackit看起来怪怪的。
我查阅了有些资料:
2015年11月10日,有网络安全厂商指出国内互联网产生了海量针对Redis数据库服务器的扫描流量,其中有不少Redis服务器的数据库被清空,且 /root/.ssh/authorized_keys文件被创建或改写,入侵者能够获取受影响服务器的完全掌控权限。由于受影响的Redis服务器的数据库被清空,但留存有一条键名为crackit的记录,因此呢这次事件被命名为Redis Crackit入侵事件。
简单的描述便是redis在用户目录写入一个ssh私钥文件,从而创立一个信任关系,这般不需要输入ssh秘码就能够登入。
总结来讲,我的服务器有可能不是由于暴力撞库登录,而是经过Redis。
用top命令来检测一下……忒么的,木马文件又来了……看来Redis不清理干净,这个文件会始终徘徊在我身边……
等一下,kswapd0似曾相识?
kswapd0过高是由于理学内存不足,运用swap分区与内存换页操作交换数据,致使CPU占用过高。
kswapd0是个小东西,背面的真实功效是执行木马文件: /tmp/.x25-unix/.rsynckswapd0
因此说不根除Redis,入侵者下次还能够用Redis的漏洞搞我的网盾服务器……(说实话,心好累)
实质上的kswapd0进程是这般的:
我特意执行Redis的时候截了图:
下载的是一个pm.sh脚本,打开它:
看似是一个sh脚本,实质上是一个png文件,还有可执行的权限。
能够直接下载下来给权限,并执行。 /.png
能够看出有一个bin脚本,删除,录入到/usr/bin里。
让他跑起来,不要停。
这过程chattr会被删除,authorized_keys文件被修改
最后执行的是 /usr/bin/kswaped这个脚本,起始找好东西。
再用top查看一下CPU利用率,又回到100%的状态。真是见鬼……
抓鸭子啊抓鸭子:
记住104.27.129.57 这个美国的CDN节点,摸着西瓜找藤子(不对说反了?)导出抓到的WirteShark包瞧瞧:
源IP请看红色部分,还能够看到请求数据库的操作(端口3306)。
难不成我服务器还有DDoS攻击?为了守护我的网络安全,网盾的客服始终让我赶紧处理……
分布式拒绝服务攻击能够使非常多的计算机在同一时间遭受到攻击,使攻击的目的没法正常运用,分布式拒绝服务攻击已然显现了非常多次,引起非常多的大型网站都显现了没法进行操作的状况,这般不仅会影响用户的正常运用,同期导致的经济损失亦是非常巨大的。
分布式拒绝服务攻击方式在进行攻击的时候,能够对源IP位置进行伪造,这般就使得这种攻击在出现的时候隐蔽性是非常好的,同期要对攻击进行检测亦是非常困难的,因此呢这种攻击方式亦作为了非常难以防范的攻击。
5、预防针
服务器之因此被攻击,还是由于暴露的公网端口太多了,尤其是Redis6789、MySQL3306这种,当然了,秘码过于简单亦占了很大的原由。
按照我的经验来给你打个预防针:
1)服务器
修改 /etc/ssh/sshd_config文件 不准许秘码登录,仅有秘钥才可登录更改ssh默认端口,防止显现暴力撞库root账户没法直接登陆,仅有特定IP才能够拜访
如:
2)应用 Redis只能本地拜访,修改默认端口,不是所有IP都可见;MySQL仅对特定IP开放拜访权限;设置端口的防火墙规则;当然了,你还能够运用跳板机、堡垒机拜访。
3)备份
这玩意儿就和救命稻草同样的,一旦不小心操作,你能够备份恢复数据。当然了,必定要设置定时。
这期的分享就到这儿,期盼大众在平时的运用中重视操作规则,守护好自己的网络安全。
| 
发表于 2024-8-22 14:44:13