IT行業(yè)發(fā)展到現(xiàn)在最筒，安全問題已經(jīng)變得至關(guān)重要断盛，從最近的“棱鏡門”事件中，折射出了很多安全問題忌怎，信息安全問題已變得刻不容緩杀狡，而做為運維人員蒙畴，就必須了解一些安全運維準則，同時呜象，要保護自己所負責(zé)的業(yè)務(wù)膳凝，首先要站在攻擊者的角度思考問題，修補任何潛在的威脅和漏洞恭陡。

一次Linux被入侵后的分析

下面通過一個案例介紹下當(dāng)一個服務(wù)器被rootkit入侵后的處理思路和處理過程蹬音，rootkit

攻擊是Linux系統(tǒng)下最常見的攻擊手段和攻擊方式。

1休玩、受攻擊現(xiàn)象

這是一臺客戶的門戶網(wǎng)站服務(wù)器著淆，托管在電信機房劫狠，客戶接到電信的通知：由于此服務(wù)器持續(xù)對外發(fā)送數(shù)據(jù)包，導(dǎo)致100M帶寬耗盡牧抽，于是電信就切斷了此服務(wù)器的網(wǎng)絡(luò)嘉熊。此服務(wù)器是Centos5.5版本遥赚，對外開放了80扬舒、22端口。

從客戶那里了解到凫佛，網(wǎng)站的訪問量并不大讲坎，所以帶寬占用也不會太高，而耗盡100M的帶寬是絕對不可能的愧薛，那么極有可能是服務(wù)器遭受了流量攻擊晨炕，于是登錄服務(wù)器做詳細的檢測。

2毫炉、初步分析

在電信人員的配合下通過交換機對該服務(wù)器的網(wǎng)絡(luò)流量進行了檢測瓮栗，發(fā)現(xiàn)該主機確實存在對外80端口的掃描流量，于是登錄系統(tǒng)通過“netstat –an”命令對系統(tǒng)開啟的端口進行檢查瞄勾，可奇怪的是费奸，沒有發(fā)現(xiàn)任何與80端口相關(guān)的網(wǎng)絡(luò)連接。接著使用“ps –ef”进陡、“top”等命令也沒有發(fā)現(xiàn)任何可疑的進程愿阐。于是懷疑系統(tǒng)是否被植入了rootkit。

為了證明系統(tǒng)是否被植入了rootkit趾疚，我們將網(wǎng)站服務(wù)器下的ps缨历、top等命令與之前備份的同版本可信操作系統(tǒng)命令做了md5sum校驗，結(jié)果發(fā)現(xiàn)網(wǎng)站服務(wù)器下的這兩個命令確實被修改過糙麦，由此斷定辛孵，此服務(wù)器已經(jīng)被入侵并且安裝了rootkit級別的后門程序。

3赡磅、斷網(wǎng)分析系統(tǒng)

由于服務(wù)器不停向外發(fā)包魄缚，因此，首先要做的就是將此服務(wù)器斷開網(wǎng)絡(luò)仆邓，然后分析系統(tǒng)日志鲜滩，尋找攻擊源。但是系統(tǒng)命令已經(jīng)被替換掉了节值，如果繼續(xù)在該系統(tǒng)上執(zhí)行操作將變得不可信徙硅，這里可以通過兩種方法來避免這種情況，第一種方法是將此服務(wù)器的硬盤取下來掛載到另外一臺安全的主機上進行分析搞疗，另一種方式就是從一個同版本可信操作系統(tǒng)下拷貝所有命令到這個入侵服務(wù)器下某個路徑嗓蘑，然后在執(zhí)行命令的時候指定此命令的完整路徑即可须肆，這里采用第二種方法。

我們首先查看了系統(tǒng)的登錄日志桩皿，查看是否有可疑登錄信息豌汇，執(zhí)行如下命令：

more /var/log/secure |grep Accepted

通過對命令輸出的查看，有一條日志引起了我們的懷疑：

Oct 3 03:10:25 webserver sshd[20701]: Accepted password for mail from 62.17.163.186 port 53349 ssh2

這條日志顯示在10月3號的凌晨3點10分泄隔，有個mail帳號從62.17.163.186這個IP成功登錄了系統(tǒng)拒贱，mail是系統(tǒng)的內(nèi)置帳號，默認情況下是無法執(zhí)行登錄操作的佛嬉，而62.17.163.186這個IP逻澳，經(jīng)過查證，是來自愛爾蘭的一個地址暖呕。從mail帳號登錄的時間來看斜做，早于此網(wǎng)站服務(wù)器遭受攻擊的時間。

接著查看一下系統(tǒng)密碼文件/etc/shadow湾揽，又發(fā)現(xiàn)可疑信息：

mail:kCEd3yD6$W1evaY5BMPQIqfTwTVJiX1:15400:0:99999:7:::

很明顯瓤逼，mail帳號已經(jīng)被設(shè)置了密碼，并且被修改為可遠程登錄库物，之所以使用mail帳號霸旗，猜想可能是因為入侵者想留下一個隱蔽的帳號，以方便日后再次登錄系統(tǒng)艳狐。

然后繼續(xù)查看其他系統(tǒng)日志定硝，如/var/log/messages、/var/log/wtmp均為空文件毫目，可見蔬啡，入侵者已經(jīng)清理了系統(tǒng)日志文件，至于為何沒有清空/var/log/secure文件镀虐，就不得而知了箱蟆。

4、尋找攻擊源

到目前為止刮便，我們所知道的情況是空猜，有個mail帳號曾經(jīng)登錄過系統(tǒng)，但是為何會導(dǎo)致此網(wǎng)站服務(wù)器持續(xù)對外發(fā)送數(shù)據(jù)包呢恨旱？必須要找到對應(yīng)的攻擊源辈毯，通過替換到此服務(wù)器上的ps命令查看系統(tǒng)目前運行的進程，又發(fā)現(xiàn)了新的可疑：

nobody 22765 1 6 Sep29 ? 4-00:11:58 .t

這個.t程序是什么呢搜贤，繼續(xù)執(zhí)行top命令谆沃，結(jié)果如下：

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
22765 nobody 15 0 1740m 1362m 1228 S 98.3 91.5 2892:19 .t

從輸出可知，這個t程序已經(jīng)運行了4天左右仪芒，運行這個程序的是nobody用戶唁影，并且這個t程序消耗了大量的內(nèi)存和cpu耕陷，這也是之前客戶反映的網(wǎng)站服務(wù)器異常緩慢的原因，從這個輸出据沈，我們得到了t程序的進程PID為22765哟沫，接下來根據(jù)PID查找下執(zhí)行程序的路徑在哪里：

進入內(nèi)存目錄，查看對應(yīng)PID目錄下exe文件的信息：

[root@webserver ~]# /mnt/bin/ls -al /proc/22765/exe
lrwxrwxrwx 1 root root 0 Sep 29 22:09 /proc/22765/exe -> /var/tmp/…/apa/t

這樣就找到了進程對應(yīng)的完整程序執(zhí)行路徑锌介，這個路徑很隱蔽嗜诀，由于/var/tmp目錄默認情況下任何用戶可讀性，而入侵者就是利用這個漏洞在/var/tmp目錄下創(chuàng)建了一個“…”的目錄掏湾，而在這個目錄下隱藏著攻擊的程序源裹虫，進入/var/tmp/…/目錄肿嘲，發(fā)現(xiàn)了一些列入侵者放置的rootkit文件融击，列表如下：

[root@webserver ...]#/mnt/bin/ls -al
drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 apa
-rw-r--r-- 1 nobody nobody 0 Sep 29 22:09 apa.tgz
drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 caca
drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 haha
-rw-r--r-- 1 nobody nobody 0Sep 29 22:10 kk.tar.gz
-rwxr-xr-x 1 nobody nobody 0 Sep 29 22:10 login
-rw-r--r-- 1 nobody nobody 0 Sep 29 22:10 login.tgz
-rwxr-xr-x 1 nobody nobody 0 Sep 29 22:10 z

通過對這些文件的分析，基本判斷這就是我們要找的程序攻擊源雳窟，其中：

1）尊浪、z程序是用來清除系統(tǒng)日志等相關(guān)信息的，例如執(zhí)行：

./z 62.17.163.186

這條命令執(zhí)行后封救，系統(tǒng)中所有與62.17.163.186有關(guān)的日志將全部被清除掉拇涤。

2）、在apa目錄下有個后門程序t誉结，這個就是之前在系統(tǒng)中看到的鹅士，運行此程序后，此程序會自動去讀apa目錄下的ip這個文件惩坑，而ip這個文件記錄了各種ip地址信息掉盅，猜想這個t程序應(yīng)該是去掃描ip文件中記錄的所有ip信息，進而獲取遠程主機的權(quán)限以舒，可見這個網(wǎng)站服務(wù)器已經(jīng)是入侵者的一個肉雞了趾痘。

3）、haha目錄里面放置的就是用來替換系統(tǒng)相關(guān)命令的程序蔓钟，也就是這個目錄下的程序使我們無法看到操作系統(tǒng)的異常情況永票。

4）、login程序就是用來替換系統(tǒng)登錄程序的木馬程序滥沫，此程序還可以記錄登錄帳號和密碼侣集。

5、查找攻擊原因

到這里為止兰绣，服務(wù)器上遭受的攻擊已經(jīng)基本清晰了世分，但是入侵者是如何侵入這臺服務(wù)器的呢？這個問題很重要狭魂，一定要找到入侵的根源罚攀，才能從根本上封堵漏洞党觅。

為了弄清楚入侵者是如何進入服務(wù)器的，需要了解下此服務(wù)器的軟件環(huán)境斋泄，這臺服務(wù)器是一個基于java的web服務(wù)器杯瞻，安裝的軟件有apache2.0.63、tomcat5.5炫掐，apache和tomcat之間通過mod_jk模塊進行集成魁莉，apache對外開放80端口，由于tomcat沒有對外開放端口募胃，所以將問題集中到apache上面旗唁。

通過查看apache的配置發(fā)現(xiàn)，apache僅僅處理些靜態(tài)資源請求痹束，而網(wǎng)頁也以靜態(tài)頁面居多检疫，所以通過網(wǎng)頁方式入侵系統(tǒng)可能性不大，既然漏洞可能來自于apache祷嘶，那么嘗試查看apache日志屎媳，也許能發(fā)現(xiàn)一些可疑的訪問痕跡，通過查看access.log文件论巍，發(fā)現(xiàn)了如下信息：

62.17.163.186 - - [29/Sep/2013:22:17:06 +0800] "GET http://www.xxx.com/cgi-bin/awstats.pl?configdir=|echo;echo;ps+-aux%00 HTTP/1.0" 200 12333 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.8.1) Gecko/20121010 Firefox/2.0"
62.17.163.186 - - [29/Sep/213:22:17:35 +0800] "GET http://www.xxx.com/cgi-bin/awstats.pl?configdir=|echo;echo;cd+/var/tmp/.../haha;ls+-a%00 HTTP/1.0" 200 1626 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.8.1) Gecko/20121010 Firefox/2.0"

至此烛谊，發(fā)現(xiàn)了漏洞的根源，原來是awstats.pl腳本中configdir的一個漏洞嘉汰，通過了解此服務(wù)器的應(yīng)用丹禀，客戶確實是通過一個Awstats的開源插件來做網(wǎng)頁訪問統(tǒng)計，通過這個漏洞鞋怀，攻擊者可以直接在瀏覽器上操作服務(wù)器双泪，例如查看進程、創(chuàng)建目錄等接箫。通過上面第二條日志可以看出攒读，攻擊者正常瀏覽器執(zhí)行切換到/var/tmp/.../haha目錄的操作。

這個腳本漏洞挺可怕的辛友，不過在Awstats官網(wǎng)也早已給出了修補的方法薄扁，對于這個漏洞，修復(fù)方法很簡單废累，打開awstats.pl文件邓梅，找到如下信息：

if (DirConfig=&DecodeEncodedString("QueryString =~ /configdir=([^&]+)/i)
{
1");
$DirConfig=~tr/a-z0-9_-/./a-z0-9_-/./cd;
}

6、揭開謎團

通過上面逐步分析和介紹邑滨，此服務(wù)遭受入侵的原因和過程已經(jīng)非常清楚了日缨，大致過程如下：

（1）攻擊者通過Awstats腳本awstats.pl文件的漏洞進入了系統(tǒng)，在/var/tmp目錄下創(chuàng)建了隱藏目錄掖看，然后將rootkit后門文件傳到這個路徑下匣距。

（2）攻擊者通過植入后門程序面哥，獲取了系統(tǒng)超級用戶權(quán)限，進而控制了這臺服務(wù)器毅待，通過這臺服務(wù)器向外發(fā)包尚卫。

（3）攻擊者的IP地址62.17.163.186可能是通過代理過來的，也可能是攻擊者控制的其他肉雞服務(wù)器尸红。

（4）攻擊者為了永久控制這臺機器吱涉，修改了系統(tǒng)默認帳號mail的信息，將mail帳號變?yōu)榭傻卿浲饫铮⑶以O(shè)置了mail帳號的密碼怎爵。

（5）攻擊者在完成攻擊后，通過后門程序自動清理了系統(tǒng)訪問日志盅蝗，毀滅了證據(jù)鳖链。

通過對這個入侵過程的分析，發(fā)現(xiàn)入侵者的手段還是非常簡單和普遍的风科，雖然入侵者刪除了系統(tǒng)的一些日志撒轮，但是還是留下了很多可查的蹤跡，其實還可以查看用戶下的.bash_history文件贼穆，這個文件是用戶操作命令的歷史記錄。

7兰粉、如何恢復(fù)網(wǎng)站

由于系統(tǒng)已經(jīng)文件被更改和替換故痊，此系統(tǒng)已經(jīng)變得完全不可信，因此建議備份網(wǎng)站數(shù)據(jù)玖姑，重新安裝系統(tǒng)愕秫，基本步驟如下：

（1）安裝穩(wěn)定版本的操作系統(tǒng)，刪除系統(tǒng)默認的并且不需要的用戶焰络。

（2）系統(tǒng)登錄方式改為公鑰認證方式戴甩，避開密碼認證的缺陷。

（3）安裝更高版本的apache和最新穩(wěn)定版本的Awstats程序闪彼。

（4）使用Linux下的Tcp_Wrappers防火墻甜孤，限制ssh登錄的源地址。

原文轉(zhuǎn)載:https://blog.51cto.com/ixdba/1431305,一篇很好的文章畏腕。