一次linu服务器的入侵分析报告-linkboy的BLOG-CSDNBlog.pdf

一次 linux 服务器的入侵分析报告 - linkboy 的 BLOG - CSDNBlog 一天，接到朋友的电话，他们公司的 web 服务器被投诉 发送垃圾邮件， 要求紧急处理， 朋友让我过去帮他检查一下。 我听了很迷惑， web 服务器怎么会发送垃圾邮件，朋友告诉 我 web 服务器系统中根本没有安装 mail 服务，应该是不可能 发送垃圾邮件的。直觉告诉我可能是被别人 hacking 了？ 我到了朋友公司的机房，使用 securecrt 登陆到服务器， ps 一下，发现有几个异常的程序，如下图一所示，有一个 sendmail 程序，还有一个异常的 SCREEN 程序。肯定是被黑 了，有得忙了。 图一： ps #8211;aux 发现的异常进程 用 netstat #8211;an 看一下，发现比较奇怪的端口 1985， 还有一个 /dev/gpmctl 的数据流，以前是没有过的。 图二： netstat #8211;an 看到的异常 来到 /var/log 目录下，看一下 secure 日志，这一看，不要紧， 一看吓一跳，日志显示，从 10 月 9 号上午 11:01:22 开始一 直到 10 月 10 号的凌晨 03:37:33 期间，不断有用户对机器进 行 ssh 的野蛮滥用，而且从日志中可以看到进行弱口令账号 测试的不是一台机器，而是来自几台不同的机器，它们分别 是 140.123.230.*( 台湾 ) 211.173.47.* ( 韩国 ) 164.164.149.* ( 印度 ) 210.118.26.* （韩国） 217.199.173.* （英国） 218.5.117.* （福建泉州） 211.90.95.* （江苏联通） 这么多机器进行分布式协作来寻找机器上的弱口令，看来 如果要查证源头是比较困难的，难道是僵尸网络中的僵尸机 器，而且有一个是福建泉州的 adsl 拨号账户和江苏联通的用 户，要查证的话必然要从它开始查了，呵呵，可惜我不是取 证专家，查证的事就放在一旁吧。 图三： /var/log/secure 看到的 ssh 登陆日志 用 last 日志看一下过去的登陆记录，如下图四显示，可以 看出从域名 floman2.mediasat 登陆，用 nslookup 查询竟然找 不到这个域名。 图四： last 日志 再看看 wtmp 日志，用 who wtmp 看到如下图五的日志， 这里显示的域名是 floman2.mediasat.ro ，用 nslookup 可以查 到域名服务器是位于罗马尼亚， dns 服务器 ip 为 193.231.170.* 。 图五： who wtmp 看到的日志记录 我们来定位一下在图一中发现的 sendmail 程序的来源， 用 如下图六中的命令。 图六：找到 sendmail 的来源 发现 sendmail 是位于 /etc/log.d/scripts/service 目录下， 应该 就是 sendmail 脚本就用来转发所谓的垃圾邮件。 只需将这些 脚本删除，就可以解决