servidor Linux después de los ataques de rootkit cómo hacer frente a?

rootkit es un software malicioso, troyanos y otros programas maliciosos habituales y otras en combinación con Linux, pero es un objetivo importante de ataque, a continuación, cómo hacer rootkit posterior ataques Linux es? Xiao Bian le dio acerca de cómo lidiar con el servidor de Linux después de los ataques de rootkit.

desarrollo de la industria de TI ahora, la seguridad se ha vuelto crítica, con el más reciente y " puerta del prisma y " caso, refleja una gran cantidad de problemas de seguridad, seguridad de la información se ha convertido en urgente y, como el personal de operación y mantenimiento, es necesario entender algunas pautas para la operación y mantenimiento seguro, al mismo tiempo, proteger su propio negocio responsable, debemos estar por primera vez en la perspectiva del pensamiento de un atacante, reparar las posibles amenazas y vulnerabilidades.

A continuación se describe un caso es cuando un servidor está bajo rootkit las ideas posteriores a la invasión y proceso de tratamiento, los ataques de rootkit son los ataques de sistemas Linux más comunes y ataque.

1, fenómeno ataque

Este es un servidor de portal del cliente, alojada en la sala de telecomunicaciones, el cliente recibe una notificación de las telecomunicaciones: Debido a la continua este servidor envía paquetes, lo que resulta en 100M ancho de banda está agotada, a continuación, cortar la red de telecomunicaciones este servidor. Este servidor es la versión Centos5.5, la apertura de los puertos 80,22.

aprendió de los clientes, el tráfico del sitio no es muy grande, por lo que el ancho de banda no será demasiado alto, ancho de banda y el agotamiento 100M es absolutamente imposible, entonces los más propensos a sufrir el tráfico del servidor ataque, por lo que el servidor de inicio de sesión para pruebas detalladas.

2, un análisis preliminar

llevado a cabo en colaboración con el personal de tráfico de la red de telecomunicaciones a través de un interruptor en el servidor y se han obtenido que el anfitrión no existe fuera del puerto análisis de tráfico 80, por lo que el sistema a través de y " netstat y ndash; una y " comando para abrir la comprobación del sistema de puerto puede ser extraño, no se encontró ninguna conexión a la red 80 asociado con el puerto. A continuación, utilice el y " PS – ef y ", " arriba " tales órdenes no encontraron ningún proceso sospechoso. Por lo que duda si el sistema se implanta rootkit.

Con el fin de probar si el sistema se implanta en el rootkit, estaremos bajo el ps servidor web, los mejores comandos con la misma versión de la credibilidad de copia de seguridad antes de que el cheque comando md5sum sistema operativo hecho y que se encuentra en el servidor Web de hecho, estos dos comandos han cambiado, se deduce que este servidor ha sido comprometida y el nivel de puerta trasera rootkit instalado.

3, roto sistema de análisis de redes

Desde la parada del servidor de la contratación externa, por lo tanto, lo primero que debe hacer es desconectar la red de este servidor, y luego analizar el registro del sistema para la fuente de ataque. Sin embargo, el comando del sistema ha sido reemplazado, y si se sigue llevando a cabo operaciones en el sistema se puede confiar, esta situación puede evitarse aquí por dos métodos, el primer método es difícil de tomar el servidor hacia abajo para montar este el análisis de la seguridad en otro host, otra manera es copiar todos los comandos de un sistema operativo de confianza bajo la misma versión de un camino para la invasión del servidor y especifique la ruta completa de este comando en el momento de ejecución de la orden de , este utiliza el segundo método.

En primer lugar, analizamos el registro de entrada del sistema, la verificación de inicio de sesión sospechoso, ejecute el siguiente comando:

más /var /log /secure | grep Aceptado

Al observar el resultado del comando, hay un registro despertó la sospecha:

Oct 3 03:10:25 servidor web sshd [20701]: contraseña Aceptado para su correo de 62.17. 163.186 puerto 53349 ssh2

este registro muestra el número a las 3:10 el 3 de octubre, hay una cuenta de correo desde el IP 62.17.163.186 entrado con éxito en el sistema, es del sistema integrado de cuenta de correo, por defecto bajo no es capaz de realizar la operación de inicio de sesión, mientras que el IP 62.17.163.186, después de la verificación, una dirección es de Irlanda. Desde el punto de vista del tiempo de inicio de sesión de cuenta de correo, servidor web sufrió a principios de este momento del ataque.

A continuación, busque en el sistema de archivo de contraseñas /etc /shadow, descubierto sospechosa:

correo: $ 1 $ $ kCEd3yD6 W1evaY5BMPQIqfTwTVJiX1: 15400: 0: 99999: 7 :::

obviamente, contraseña de la cuenta de correo ha sido establecido, y puede ser modificado como inicio de sesión remoto, la razón para utilizar la cuenta de correo, supongo probablemente porque el intruso quiere dejar una cuenta oculta, conectarse de nuevo para facilitar el futuro sistema.

y luego continuar para ver otros registros del sistema, tales como var /log /messages, /var /log //wtmp están vacías, podemos ver, el intruso ha despejado los archivos de registro del sistema, de por qué no hay un vacío /var /log /seguro, no sé.

4, en busca de ataque

Hasta ahora, lo que sabemos es que hay una cuenta de correo se había registrado en el sistema, pero ¿por qué causa este servidor para enviar los paquetes que continuar fuera ? Debe encontrar la fuente correspondiente del ataque, ver el proceso mediante la sustitución del comando ps en este servidor sistema que ejecuta actualmente, pero también encontró un nuevo sospechoso:

nadie 22765 1 6 Sep29? 4-00: 11: 58 .t

.T este programa, lo que es, seguirá al mando primeros resultados son los siguientes:

% CPU PID de usuario PR NI VIRT RES SHR S% MEM + TIEMPO COMANDO

22765 nadie 15 0 1740m 1362m 1228 S 98,3 91,5 2892: 19 .t

puede ser visto desde la salida, el programa ha estado funcionando para T 4 días, este procedimiento se ejecuta nadie usuario, t y el programa consume una gran cantidad de memoria y de la CPU, que también se refleja en el servidor web antes de causa del cliente de inusualmente lenta, desde esta salida, obtenemos t procesos para el proceso PID 22765, de acuerdo con la trayectoria seguida por la ejecución del programa para encontrar el siguiente PID donde:

en el directorio de memoria, consulte la información del directorio correspondiente archivo exe PID:

[root @ servidor web ~] # /mnt /bin /ls -al /proc /22765 /exe

lrwxrwxrwx 1 root 0 Sep 29 de 22:09 /proc /22765 /exe - "/var /tmp /y hellip; /apa /t

esto encontrará el proceso completo programa correspondiente ruta de ejecución, este camino es muy sutil, porque el directorio /var /tmp por defecto directorio de usuario legibilidad bajo cualquier circunstancia, y la intrusión Que va a usar esta vulnerabilidad para crear un directorio y " en /var /tmp; … " directorios y fuente oculta ataques en este directorio, introduzca /var /tmp /y hellip; /directorio, encuentra algunos columna intruso archivo rootkit colocado, la lista es la siguiente:

[root @ servidor web. . .] # /Mnt /bin /ls -al

drwxr-xr-x 2 nadie nadie 4096 Sep 29 22:09 apa

-rw-r - r-- 1 nadie nadie 0 Sep 29 de 22:09 apa.tgz

drwxr-xr-x 2 nadie nadie Sep 4096 22:09 29 de Caca

drwxr-xr-x 2 nadie nadie Sep 4096 22:09 29 de jaja

-rw-r - r-- 1 nadie nadie 0Sep 29 22:10 kk.tar.gz-

-rwxr-xr-x 1 nadie nadie 0 Sep 29 22:10 iniciar sesión

-rw-r - r-- 1 nadie nadie 0 Sep 29 22:10 login.tgz

-rwxr-xr-x 1 nadie nadie 0 Sep 29 22:10 z
Anterior 12 Siguiente total de 2