? ? ? ? 最近運維的兄弟反映一臺老舊的機器經(jīng)常發(fā)出莫名的流量扣孟，甚至堵塞了線路良瞧。這是一臺許多年前安裝的CACTI監(jiān)控機器计雌，按照運維兄弟的說法悄晃，這種CACTI的集成監(jiān)控環(huán)境，開發(fā)發(fā)布者已經(jīng)多年沒有更新了凿滤。在我們的使用中平時業(yè)務(wù)流量極少妈橄，然從運維方提供上看，確實有莫名的業(yè)務(wù)上無關(guān)的流量翁脆。

圖一：舊機器出現(xiàn)莫名的流量尖峰堵塞線路

? ? ? ? 登錄上機器一檢查眷蚓，該機器由于幾年疏于管理，開放了許多本該限制在內(nèi)網(wǎng)的端口反番。包括 161 SNMP端口沙热、3306MYSQL訪問端口叉钥，7000 CACTI的WEB服務(wù)端口（APACHE +PHP），由于機器老舊篙贸，并缺乏專門的管理投队，估計機器成了黑客練手的靶機。了解了一下爵川，該CACTI服務(wù)機還在用敷鸦，不能廢掉。于是簡單制定了一下策略寝贡，（1）確定尖峰流量產(chǎn)生的原因轧膘，（2）重裝機器 （3）加強對外端口管理的限制策略。

? ? ? ? 我并不是專業(yè)的運維人員兔甘，也不是計算機安全人員谎碍，卻是網(wǎng)絡(luò)研發(fā)人員，所以洞焙，最簡單確認(rèn)攻擊的原因是抓包分析流量蟆淀。直接讓運維兄弟從交換機限制流量，然后抓包澡匪，靜待分析熔任。剛剛開始抓包沒多久，管理連接忽然斷了唁情，嘿疑苔，來了，尖峰流量堵塞了鏈路甸鸟，所以惦费，登錄的SSH連接斷了。馬上從另外的端口登錄抢韭，取回抓包文件分析薪贫。作為一個熟手的網(wǎng)絡(luò)流量分析人員，輕而易舉就提取了峰值流量刻恭，乖乖瞧省，這臺機器被當(dāng)成是DDOS反射放大攻擊的肉雞了。

圖二：DDOS反射放大攻擊產(chǎn)生的峰值流量

? ? ? ? 由于業(yè)務(wù)上需要向合作伙伴開放SNMP的161端口鳍贾，但161端口沒有進行IP訪問限制鞍匾，恰巧的是，這個CACTI集成機器安裝的SNMP版本有個非常適合做DDOS放大攻擊的接口骑科，getBulkRequest橡淑。于是就順理成章的被公網(wǎng)上的黑客掃描和利用了。從抓包上看纵散，getBulkRequest有放大系數(shù)超過了十倍梳码。

? ? ? ? 于是隐圾，讓運維的兄弟重裝機器，然由于種種原因掰茶，只能裝回CACTI當(dāng)年的版本和恢復(fù)備份的數(shù)據(jù)暇藏，直接對161公網(wǎng)端口進行了訪問限制，限制只有合作伙伴的有限幾個網(wǎng)段能訪問濒蒋。另外盐碱，除了CACTI的服務(wù)端口和管理端口，其余端口都不允許公網(wǎng)訪問沪伙。

? ? ? ? 還以為搞完之后瓮顽，從此過上清靜的日子，誰知道围橡，只是清靜了一個多星期暖混。之后運維的兄弟又說了，又有有往外發(fā)的奇怪的流量翁授，有圖為證：

圖三：第二種外發(fā)尖峰流量

? ? ? ? 再次抓包拣播，再次分析，哦哦收擦，老舊CACTI怎么在攻擊他人贮配？單向向另一個IP的UDP 80端口不斷發(fā)包∪福可以斷定泪勒，老舊CACTI應(yīng)該是被遠程控制，又一次被用作攻擊他人的肉雞了宴猾。

圖四：老舊CACTI在攻擊他人

? ? ? ? 誰在控制老舊CACTI服務(wù)器圆存？一個很簡單的思路：一定有遠程控制的連接，由于非必要的對外訪問端口都被封了鳍置，也許是服務(wù)器被種了反向的連接辽剧，主動連接遠程控制的服務(wù)器送淆。猜測這種遠程控制的連接是一種很簡單的TCP的明文連接（沒什么道理的税产，就是想這么老舊的CACTI，也許不是頂級高手入侵偷崩，一般的黑客只是用最簡單的網(wǎng)絡(luò)連接實現(xiàn)）辟拷，于是，在抓包文件中的所有報文阐斜，尋找TCP的payload(有效載荷)中包含被攻擊IP的報文衫冻。

? ? ? ? 經(jīng)過一輪分析，還真的發(fā)現(xiàn)控制攻擊的連接谒出，連接由CACTI服務(wù)器主動發(fā)起隅俘，連接建立后邻奠，控制IP下發(fā)被攻擊的IP，讓CACTI服務(wù)器發(fā)起攻擊为居。

圖五：攻擊的控制連接

? ? ? ? CACTI服務(wù)器主動連接控制IP碌宴，說明CACTI服務(wù)器上被安裝了某種惡意的程序或者插件。順著連接看發(fā)起連接的惡意進程蒙畴。

圖六：發(fā)起控制連接的進程

? ? ? ? 順藤摸瓜贰镣，發(fā)現(xiàn)惡意進程來自CACTI的氣象圖插件目錄，該插件目錄被種了一個yyw的惡意執(zhí)行文件膳凝，這個可執(zhí)行文件發(fā)起了攻擊的控制連接碑隆。

圖七：CACTI的氣象圖插件目錄被植入惡意程序

????????查詢CACTI氣象圖相關(guān)的漏洞，發(fā)現(xiàn)這是幾年前一個著名的漏洞蹬音，是各大網(wǎng)站已經(jīng)被挖過一輪的老洞上煤，我們的老舊CACTI服務(wù)器能存活到今天真不容易。

圖八：CVE-2013-2618

? ? ? ? 查詢APACHE的訪問日志著淆，能夠清晰的找到入侵的日志楼入，正如漏洞描述，問題出在plugins/weathermap/editor.php的文件中牧抽。

圖九： weathermap/editor.php? 入侵日志

? ? ? ? 由于氣象圖不是我們業(yè)務(wù)必用的功能嘉熊，于是，運維的兄弟決定去掉這個plugin和相關(guān)的目錄扬舒。這一次阐肤，老舊CACTI的漏洞是不是完全補上了呢？又能清凈多久呢讲坎？