我怎麼知道黑客是如何訪問我的機器的?
我擁有一台專用機器,今天我收到主機發來的一封電子郵件,說如果我不停止濫用網路,我的伺服器將被阻止。我不是垃圾郵件發送者或黑客。有人在用我的機器做惡作劇。他們在電子郵件中附上了一條說明,顯示以下內容。
########################################################################## # Netscan detected from host 178.63.xxx.xxx # ########################################################################## time protocol src_ip src_port dest_ip dest_port --------------------------------------------------------------------------- Sat Oct 4 11:24:09 2014 TCP 178.63.xxx.xxx 26217 => 94.xxx.xxx.0 22 Sat Oct 4 11:24:09 2014 TCP 178.63.xxx.xxx 26217 => 94.xxx.xxx.4 22 Sat Oct 4 11:24:09 2014 TCP 178.63.xxx.xxx 26217 => 94.xxx.xxx.41 22 Sat Oct 4 11:24:09 2014 TCP 178.63.xxx.xxx 26217 => 94.xxx.xxx.61 22 Sat Oct 4 11:24:09 2014 TCP 178.63.xxx.xxx 26217 => 94.xxx.xxx.80 22
我檢查了我的系統日誌,它在與上述相同的時間提到了以下內容。注意帶有 **s 的行。‘設備進入混雜模式’
################## Oct 4 11:20:01 v7 CRON[18962]: (cap) CMD (cd /var/tmp/ ; ./ps x >/dev/null 2>&1) **Oct 4 11:24:34 v7 kernel: [7144175.421969] device eth0 entered promiscuous mode** Oct 4 11:30:01 v7 CRON[19075]: (cap) CMD (cd /var/tmp/ ; ./ps x >/dev/null 2>&1) **Oct 4 11:31:31 v7 kernel: [7144591.716996] device eth0 left promiscuous mode** Oct 4 11:31:31 v7 kernel: [7144592.377159] ssh-scan[19234]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000] ###################
我也注意到了很多:
############# Oct 4 11:31:47 v7 kernel: [7144607.756445] ssh-scan[19178]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000] Oct 4 11:31:50 v7 kernel: [7144611.372464] ssh-scan[19725]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000] Oct 4 11:31:52 v7 kernel: [7144613.062509] ssh-scan[19326]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000] Oct 4 11:31:53 v7 kernel: [7144614.091379] ssh-scan[19704]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000] Oct 4 11:31:53 v7 kernel: [7144614.121336] ssh-scan[19747]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000] Oct 4 11:31:53 v7 kernel: [7144614.377344] ssh-scan[19727]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000] Oct 4 11:31:53 v7 kernel: [7144614.404263] ssh-scan[19712]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000] Oct 4 11:31:54 v7 kernel: [7144614.557179] ssh-scan[19708]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000] Oct 4 11:31:54 v7 kernel: [7144614.673588] ssh-scan[19709]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000] Oct 4 11:31:54 v7 kernel: [7144614.678058] ssh-scan[19749]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000] Oct 4 11:31:54 v7 kernel: [7144615.195993] ssh-scan[19711]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000] #########
現在我該怎麼辦?我如何知道黑客如何訪問我的機器以及如何阻止這種情況發生?
另一方面,幾個月前發生了類似的事件,當時我的主人說我安裝的 elasticsearch 可能是安全漏洞的問題。我解除安裝了elasticsearch,因為我沒有使用它並更改了root密碼。
非常感謝調查此問題的任何幫助。
謝謝
更新 1
我跑了
who -u
,我看到以下內容root hvc0 Jul 13 18:55 old 728 deployer pts/0 Oct 4 11:19 04:08 18836 (240.50.134.37.dynamic.jazztel.es) (IS THIS THE HACKER?) root pts/3 Oct 4 14:53 . 14794 (122.174.xxx.xxx) (THIS IS MY IP)
這是一個很難回答的問題,因為通常沒有一件事情是你應該做的。相反,您從各種來源收集資訊,查看您擁有的資訊並進一步跟踪這些線索。仍然有一些想法:
我在您提供給我們的資訊中看到的重要資訊包括:
- 已經安裝了一個 cron 作業,並且您知道它執行的時間
- cron 作業執行已安裝或已安裝的程序
/var/tmp/ps
- 一個名為的程序
ssh-scan
一直在執行並且反復出現段錯誤。看起來這發生在 cron 作業執行之後到目前為止還沒有很多事情要做,但要尋找有用的時間戳。
- 的創建和修改時間
/var/tmp/ps
- 作業執行的 cron 文件的修改時間。
幸運的是,這些時間戳可能對應於您的機器被破壞的時間,在這種情況下,您可以更了解在日誌中的何處查找有關實際破壞的資訊。
某處存在或曾經有系統辨識為 的程序
ssh-scan
。用 尋找它locate
。程序執行後可能會重命名自己,但在這種情況下,程序ssh-scan
內部可能包含文本,在這種情況下,您可以使用 grep 找到它。查看 .bash_history 文件之類的內容以了解
crontab
,ps
和ssh-scan
. 如果黑客留下了命令歷史記錄,那可能會幫助您找到它。查看列出的條目
last
是否有任何異常。查看 /var/tmp/ps 的內容。如果它是二進製文件,請查看
strings /var/tmp/ps
.
- 黑客在他們的程序中辨識自己的情況非常普遍,但該文件的作者不一定是入侵您機器的人
- 它可能是該文件中看起來很有趣的東西,或者該文件的 md5 校驗和可以通過 google 找到。
希望以上內容會帶來一些新的線索。
攻擊者將程序放在 /var/tmp 中,並且能夠打開和關閉介面的混雜模式,這意味著他們具有 root 訪問權限。雖然您可能能夠確定進入點,但您不太可能確定您已經關閉了他們的訪問權限。您可能應該重新安裝伺服器,並且非常小心您正在復製到新伺服器的內容。了解黑客的所作所為可能對了解您不應該複製的內容非常有用。盡可能從受感染系統之外的可信來源重新安裝。
黑客可能仍然可以訪問。他們可能會嘗試刪除證據,可能會非常具有破壞性,因此請確保所有內容都有備份。瀏覽所有後門的條目
cron
。at
使用防火牆,盡可能鎖定訪問,包括限制對一組盡可能小的遠端 IP 的訪問(例如,只允許來自指定 IP 的 ssh 訪問)。如果您的主機有權訪問其他任何內容,請盡可能限制它。最後但並非最不重要的一點是,考慮從更有經驗的人那裡獲得專業幫助。
$$ EDIT In response to your edit $$ 那很可能是你的攻擊者。它也可能是一個已經被黑客控制的中介系統。這樣的安排可能很複雜,很難追踪,但也有很多頭腦簡單的黑客。
完成備份後,請聯繫 jazztel.es 的管理員。沒有域名的whois
.es
,但我認為您想要的地址是abuse@jazztel.com。他們可能會關閉它們,並可能幫助將事情擺在警察面前。$$ EDIT Another addition $$ 在您的伺服器可能擁有的各種特權訪問中,如果您習慣將 ssh 代理連接轉發到您的伺服器,請立即停止。它很容易被在您的伺服器上具有 root 訪問權限的人濫用,儘管只要您的 ssh 會話已連接。