首页 > 上北

2024年10月Linux服务器被rootkit攻击后该如何处理?(2)

发布时间:

  ⑴通过对这些文件的分析,基本判断这就是我们要找的程序攻击源,其中:

  ⑵、z程序是用来清除系统日志等相关信息的,例如执行:

  ⑶这条命令执行后,系统中所有与...有关的日志将全部被清除掉。

  ⑷、在apa目录下有个后门程序t,这个就是之前在系统中看到的,运行此程序后,此程序会自动去读apa目录下的ip这个文件,而ip这个文件记录了各种ip地址信息,猜想这个t程序应该是去扫描ip文件中记录的所有ip信息,进而获取远程主机的权限,可见这个网站服务器已经是入侵者的一个肉鸡了。

  ⑸、haha目录里面放置的就是用来替换系统相关命令的程序,也就是这个目录下的程序使我们无法看到操作系统的异常情况。

  ⑹、login程序就是用来替换系统登录程序的木马程序,此程序还可以记录登录帐号和密码。

  ⑺到这里为止,服务器上遭受的攻击已经基本清晰了,但是入侵者是如何侵入这台服务器的呢?这个问题很重要,一定要找到入侵的根源,才能从根本上封堵漏洞。

  ⑻为了弄清楚入侵者是如何进入服务器的,需要了解下此服务器的软件环境,这台服务器是一个基于java的web服务器,安装的软件有apache..、tomcat.,apache和tomcat之间通过mod_jk模块进行集成,apache对外开放端口,由于tomcat没有对外开放端口,所以将问题集中到apache上面。

  ⑼通过查看apache的配置发现,apache仅仅处理些静态资源请求,而网页也以静态页面居多,所以通过网页方式入侵系统可能性不大,既然漏洞可能来自于apache,那么尝试查看apache日志,也许能发现一些可疑的访问痕迹,通过查看aess.log文件,发现了如下信息:

  ⑽... - - [/Sep/::: +] “GET |echo;echo;ps+-aux% HTTP/.” “-” “Mozilla/. (Windows; U; Windows NT .; pt-BR; rv:.. Gecko/ Firefox/.”

  ⑾... - - [/Sep/::: +] “GET |echo;echo;cd+/var/tmp/。。./haha;ls+-a% HTTP/.” “-” “Mozilla/. (Windows; U; Windows NT .; pt-BR; rv:.. Gecko/ Firefox/.”

  ⑿至此,发现了漏洞的根源,原来是awstats.pl脚本中configdir的一个漏洞,通过了解此服务器的应用,客户确实是通过一个Awstats的开源插件来做网页访问统计,通过这个漏洞,攻击者可以直接在上操作服务器,例如查看进程、创建目录等。通过上面第二条日志可以看出,攻击者正常浏览器执行切换到/var/tmp/。。./haha目录的操作。

  ⒀这个脚本漏洞挺可怕的,不过在Awstats官网也早已给出了修补的方法,对于这个漏洞,修复方法很简单,打开awstats.pl文件,找到如下信息:

  ⒁if ($QueryString =~ /configdir=([^&]+/i

  ⒂$DirConfig=&DecodeEncodedString(“$”;

  ⒃修改为如下即可:

  ⒄if ($QueryString =~ /configdir=([^&]+/i

  ⒅$DirConfig=&DecodeEncodedString(“$”;

  ⒆$DirConfig=~tr/a-z-_-/。/a-z-_-/。/cd;

  ⒇通过上面逐步分析和介绍,此服务遭受入侵的原因和过程已经非常清楚了,大致过程如下:

  ⒈(攻击者通过Awstats脚本awstats.pl文件的漏洞进入了系统,在/var/tmp目录下创建了隐藏目录,然后将rootkit后门文件传到这个路径下。

  ⒉(攻击者通过植入后门程序,获取了系统超级用户权限,进而控制了这台服务器,通过这台服务器向外发包。

  ⒊(攻击者的IP地址...可能是通过代理过来的,也可能是攻击者控制的其他肉鸡服务器。

  ⒋(攻击者为了永久控制这台机器,修改了系统默认帐号mail的信息,将mail帐号变为可登录,并且设置了mail帐号的密码。

  ⒌(攻击者在完成攻击后,通过后门程序自动清理了系统访问日志,毁灭了证据。

  ⒍通过对这个入侵过程的分析,发现入侵者的手段还是非常简单和普遍的,虽然入侵者删除了系统的一些日志,但是还是留下了很多可查的踪迹,其实还可以查看用户下的.bash_history文件,这个文件是用户操作命令的历史记录。

  ⒎由于系统已经文件被更改和替换,此系统已经变得完全不可信,因此建议备份网站数据,重新安装系统,基本步骤如下:

  ⒏(安装稳定版本的操作系统,删除系统默认的并且不需要的用户。

  ⒐(系统登录方式改为公钥认证方式,避开密码认证的缺陷。

  ⒑(安装更高版本的apache和最新稳定版本的Awstats程序。

  ⒒(使用Linux下的Tcp_Wrappers防火墙,限制ssh登录的源地址。

  ⒓上面就是Linux服务器被rootkit攻击后的处理方法,你要先对服务器进行分析,确实是否是rootkit攻击所致,然后再根据具体情况进行恢复。