Linux

在 /var/tmp/.aw 中安裝了 IPmech 的被黑伺服器每分鐘執行 cronjob,我如何確定我是如何被黑的

  • March 12, 2012

我在 Ubuntu 10.04.3 伺服器上的一個使用者帳戶被黑了,我不知道是怎麼回事。密碼很強大。我的使用者的 crontab 中安裝了一個 cronjob,該 crontab 在 /var/tmp/.aw 中執行和可執行

/var/tmp/.aw 目錄包含一組執行檔,其中包括一個名為 bash 的執行檔。

我檢查了我的 ~/.bash_history 並發現了一些非常可疑的東西。我在下面提供了相關的片段。

   w
   ls
   passwd
   cd /var/tmp
   w
   ls
   wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe
   w
   wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe
   w
   cat /prooc/cpuinfo
   cat /proc/cpuinfo
   exotr
   wq
   w
   exit
   w
   ls
   passwd
   cd /var/tmp
   ls
   wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe
   ls
   tar xzvf IPmech.tgz
   rm -rf IPmech.tgz
   cd .aw
   s
   ls
   ./autorun
   chmod +x *
   ./autorun
   ./start TKLL
   ls
   rm -rf m.ses
   ps x
   kill -9 4350
   ls
   ps x
   rm -rf m.ses
   kill -9  4460
   ls
   ps x
   w
   ls
   nano 192.168.0.100.user2
   rm -rf *seeN8
   ls
   rm -rf *see*
   ls
   nano m.set
   rm -rf m.ses
   ps x
   kill -9 4582
   ls
   ps x
   kill -9 4645
   rm -rf m.ses
   ls
   ps x
   kill -9 4693
   ls
   rm -rf m.ses
   ps x
   kill -9 4733
   rm -rf m.ses
   ps x
   kill -9 4757
   ls
   nano m.set
   rm -rf m.ses
   ps x
   kill -9 4800
   we
   w
   ls
   ps x
   kill -9 4878
   ls
   rm -rf m.ses
   ps x
   kill -9 4926
   ls
   w
   ps x
   ls
   kill -9 4964
   w
   exit
   w
   ls
   ps x
   cd /var/tmp
   w
   ls
   exit
   sudo su
   passwd
   ls
   ls -al
   ls .ssh/
   rm id_dsa.pub 
   touch .sudo_as_admin_successful 
   sudo su
   passwd
   it is
   sudo su
   w
   echo "yay :D" > /dev/pts/9
   echo "I take it it's working..." > /dev/pts/9
   w
   echo "Is this annoying???" > /dev/pts/9
   w
   exit

具體問題:

  1. 什麼是外掛?我無法找到或找到它,也沒有人為它輸入
  2. 什麼是 IPmech,Google搜尋產生了一堆討論陶瓷和陶瓷裂縫建模的東西。IPMech 似乎是力學問題研究所,是俄羅斯科學院的一部分。我不確定這是否合法。另外,我仍然不知道他們最初是如何進入帳戶的。日誌回溯的距離還不夠遠,無法查看與 bask 歷史記錄相對應的登錄嘗試。
  3. 我已經完全刪除了 crontab(裡面沒有其他內容)並刪除了 /var/tmp/.aw,然後重新啟動了伺服器。我檢查了正在執行的程序是否有任何有趣的事情,並且一切看起來都是合法的。我已更改密碼。我是否也需要更改我的公鑰?
  4. 我還可以/應該尋找什麼來幫助辨識入侵機制?

謝謝

不久前,我在 Security.SE 上寫了一個答案,其中包含找出他們如何進入的技術。這不是一個全面的答案,因為這樣的東西會填滿整本書。

它的要點是:“查看日誌;通過時間戳辨識可疑事物(文件、日誌條目)”。

在您的情況下,使用您必須找到他的 IP 地址(last -igrep username /var/log/auth.log)的任何日誌,然後查看該 IP 地址的所有其他日誌(特別是 Web 伺服器日誌,如果您執行一個日誌)。搜尋所有日誌IPmech也可能很有用。如果你能找到他從哪裡得到的,你也許可以自己得到一份副本,看看它的作用。我的猜測(基於我自己的 Google 搜尋IPmech)是它正在執行一個開放代理。

exotr``exit對我來說看起來像是一個錯字。他用“o”代替“i”,用“tr”代替“t”。特別是因為他後來成功地輸入了“退出”兩個命令。

清理伺服器一切都很好,但即使“一切看起來都是合法的”,你也永遠無法確定。使用妥協之前的備份擦除和重新安裝是您可以確定的一種方式。請參閱My server’s been hacked EMERGENCY中的大量建議。無論如何,這樣做是一種很好的做法,因為在您從備份成功恢復之前,備份並不是真正的備份。

引用自:https://serverfault.com/questions/366419