记一次Ubuntu服务器被黑经历_Linux

起因

最近我们的一台Ubuntu阿里云服务器一直提示有肉鸡行为,提示了好几天,开始并没有关注,然后连续几天后发现应该是个大问题啊。很可能服务被侵入了!!!

寻找线索

一开始我是完全懵逼的状态的,Linux不是很熟悉,只会简单的命令,安装部署redis,mongo这些东西。好吧,只能百度Google了!

寻找可疑进程

ps -ef

然而结果看起来一点头绪都没,非常不熟悉Linux底下常见的进程!

寻找相关的Log线索

Linux里有非常的多的日志文件,统一都存放在/var/log底下,这里我想先看看是不是有人破解了账号入侵了服务器

cat /var/log/faillog --登陆失败日志

cat /var/log/auth.log --验证日志

确实发现了一些蛛丝马迹(解决完后发现可能并非如此,暂时还没有研究下去)

在auth.log中发现了大量的Failed,这说明有人在尝试暴力破解密码,最可疑的是大量的session opened for user root by (uid=0)(开始我觉得是入侵进去了?)。百度了下,发现几个线索:

阿里云官方发布了脏牛漏洞的公告https://bbs.aliyun.com/read/297492.html

一篇黑客对决http://ruby-china.org/topics/23848

仔细看了下之后发现,卧槽!黑客对决这篇和我的情况如出一辙啊~前几天为了部署ExceptionLess,迁移ElasticSearch到Linux。并没有注意El的安全性啊。

寻找木马

再一次查看进程,这次有文档帮助,有了大致的了解,并且拿另外一台Linux服务器的进程做了一次对比。立马定位到了可疑进程。

通过elastic+ 启动的这几个进程显然是木马进程,依据上边的文档,可以初步说明木马没有取得root权限,而运行在elastic的用户权限底下。

找到了进程,怎么找到文件?百度!

cd /proc/31598
ls -l exe

卧槽还删除了!不过也定位到可疑的地方/tmp
立即去/tmp查看

这些文件应该就是木马了,down下来打开看了下,确实是木马!也百度到了一些信息,这些就是肉鸡程序了!文档

干掉木马

找到了木马,最后就要干掉它,不过谨慎起见我还是做了一些其他的功课,防止随意杀掉之后,造成木马的更大破坏。(然而也就是百度了下,发现Linux只是太薄弱)

停止ElasticSearch

service elasticsearch stop

更换ElasticSearch配置,这是这个漏洞的关键!

script.disable_dynamic: true --从flase改成true

我在想这样的一个动态脚本能力是怎么考虑的?妥妥的漏洞啊,就像上次的Redis默认无安全验证问题一样啊!!!

删掉temp

rm -rf /tmp

我这是很愤怒的!不过冲动是魔鬼,rm -rf请慎重!!!整个服务器删掉的悲伤故事就是它惹的。

批量杀掉进程

kill -9 $(ps -ef | grep elastic | grep -v grep | awk '{print $2}')

重新查看下进程列表 确保木马不重启

ps -ef

结果看起来是乐观的,不过是不是真的杀掉了?还需要时间的检验了?
重启Elastichsearch

service elasticearch start
为了更安全起见,服务器都加强了密码,还用ClamAV扫了一遍。

续集?? 希望不要有续集了!!!

总结

这次的安全事故,我想大概像我这样的Linux新手不在少数,随着.NET的跨平台,大量的.NET应用会依赖更多的linux环境组件,Linux的应用安全一定也是需要更受我们重视的(虽然Linux不是在业界号称比Windows安全嘛,不过Linux应该会说这是Elasticsearch的锅啊!!!)

时间: 2024-09-20 08:54:25

记一次Ubuntu服务器被黑经历_Linux的相关文章

历数Linux服务器被黑问题及应对措施

本文给大家讲解了关于linux服务器被黑的解决方法.其中的讲到了"root kits"或者流行的刺探工具占用了你的CPU,存储器,数据和带宽的问题. 平时会有一些朋友遇见服务器被黑的问题,经过搜集和整理相关的相关的材料,在这里本人给大家找到了Linux服务器被黑的解决方法,希望大家看后会有不少收获.如果你安装了所有正确的补丁,拥有经过测试的防火墙,并且在多个级别都激活了先进的入侵检测系统,那么只有在一种情况下你才会被黑,那就是,你太懒了以至没去做该做的事情,例如,安装BIND的最新补丁

Linux服务器被黑怎么办

  平时会有一些朋友遇见服务器被黑的问题,经过搜集和整理相关的相关的材料,在这里本人给大家找到了linux服务器被黑的解决方法,希望大家看后会有不少收获.如果你安装了所有正确的补丁,拥有经过测试的防火墙,并且在多个级别都激活了先进的入侵检测系统,那么只有在一种情况下你才会被黑,那就是,你太懒了以至没去做该做的事情,例如,安装BIND的最新补丁. 一不留神而被黑确实让人感到为难,更严重的是某些脚本小鬼还会下载一些众所周知的"root kits"或者流行的刺探工具,这些都占用了你的CPU,

IBM X40笔记本安装Ubuntu 10.04黑屏的解决方法

IBM X40笔记本安装http://www.aliyun.com/zixun/aggregation/13835.html">Ubuntu 10.04黑屏的解决方法如下: 若是用光盘新安装: 1. 用 Live CD 开机后一出现紫色画面马上按 Enter 以叫出 menu 选择语言后,按 F6 再按 Esc 在 "quiet splash" 后输入 "i915.modeset=1",然后按 Enter 进入试用或安装 2. 安装完后重新启动,在

如何在 Ubuntu 服务器中配置 AWStats

如何在 Ubuntu 服务器中配置 AWStats AWStats 是一个开源的网站分析报告工具,可以生成强大的网站.流媒体.FTP 或邮件服务器的访问统计图.此日志分析器以 CGI 或命令行方式进行工作,并在网页中以图表的形式尽可能的显示你日志中所有的信息.它可以"部分"读取信息文件,以便能够频繁并快速处理大量的日志文件.它支持绝大多数 Web 服务器日志文件格式,包括 Apache,IIS 等. 本文将帮助你在 Ubuntu 上安装配置 AWStats. 安装 AWStats 包

使用PC(Intel x86)服务器版光盘安装一台Ubuntu服务器(上)

本文会示范如何使用 PC (Intel x86) 服务器版光盘安装一台 http://www.aliyun.com/zixun/aggregation/13835.html">Ubuntu 服务器,64-bit PC (AMD64) 的安装方法几乎相同.如果您有兴趣知道如何使用桌面和文字界面安装光盘,可以参考相关指南. 启动 将您计算机的 BIOS 设定成用 CD-ROM 开机,并将 Ubuntu 服务器(Server) 光盘放入光驱起动.改動 BIOS 設定,使用光碟開機 如无意外,您可

sql server-windows服务器被黑,用户组文件被删除,无法创建用户组,请教用户组的存放文件是哪个?

问题描述 windows服务器被黑,用户组文件被删除,无法创建用户组,请教用户组的存放文件是哪个? 在服务器管理器里面,用户组里是空的.新增一个用户组时,会提示"系统找不到指定的文件". 此问题导致不能安装要创建用户组的程序(如sql server) 解决方案 更改文件的所有者 和 所属用户组 解决方案二: 看你的配置文件写在哪的了,然后到该盘下建立开一个对应的文件夹就可以了

ubuntu服务器,设置秘钥文件登陆,测试成功。可服务器重启后,xshell就无法登陆

问题描述 ubuntu服务器,设置秘钥文件登陆,测试成功.可服务器重启后,xshell就无法登陆 详细问题请参照http://zhidao.baidu.com/question/1494255292036782739.html?quesup2&oldq=1 解决方案 sshd服务是否开机运行

ubuntu服务器上tomcat端口无论怎么改都被占用

问题描述 ubuntu服务器上tomcat端口无论怎么改都被占用 被这个问题折磨2天了 改xml改成什么端口 什么端口就被占用.杀进程?杀啊!杀了一遍又一遍 快哭了 不知道原因何在,有人碰到类似的情况吗 解决方案 先用netstat查看一下具体什么进程占用了,是不是那个进程会自动重启

如何让Ubuntu服务器远离鬼影漏洞(GHOST)影响

如何让Ubuntu服务器远离鬼影漏洞(GHOST)影响 2015年1月27日,GNU C库(glibc)的一个漏洞也称鬼影漏洞(GHOST)被公诸于众.总的来说,这个漏洞允许远程攻击者利用glibc中的GetHOST函数的缓冲区溢出漏洞来获得系统的完全控制.点击这里获得更多细节. 鬼影漏洞可在版本在glibc-2.18之前的Linux系统上被利用.也就是说没有打过补丁的版本2.2到2.17都是有风险的. 检查系统漏洞 你可以使用下面的命令来检查glib的版本 ldd --version 输出 l