一天,接到朋友的电话,他们公司的web服务器被投诉发送">垃圾邮件,要求紧急处理,朋友让我过去帮他检查一下。我听了很迷惑,web服务器怎么会发送垃圾邮件,朋友告诉我web服务器系统中根本没有安装mail服务,应该是不可能发送垃圾邮件的。直觉告诉我可能是被别人hacking了?
我到了朋友公司的机房,使用securecrt登陆到服务器,ps一下,发现有几个异常的程序,如下图一所示,有一个sendmail程序,还有一个异常的SCREEN程序。肯定是被黑了,有得忙了。
图一:ps –aux发现的异常进程
用netstat –an看一下,发现比较奇怪的端口1985,还有一个/dev/gpmctl的数据流,以前是没有过的。
图二:netstat –an看到的异常
来到/var/log目录下,看一下secure日志,这一看,不要紧,一看吓一跳,日志显示,从10月9号上午11:01:22开始一直到10月10号的凌晨03:37:33期间,不断有用户对机器进行ssh的野蛮滥用,而且从日志中可以看到进行弱口令账号测试的不是一台机器,而是来自几台不同的机器,它们分别是
140.123.230.*(台湾)
211.173.47.* (韩国)
164.164.149.* (印度)
210.118.26.* (韩国)
217.199.173.* (英国)
218.5.117.* (福建泉州)
211.90.95.* (江苏联通)
这么多机器进行分布式协作来寻找机器上的弱口令,看来如果要查证源头是比较困难的,难道是僵尸网络中的僵尸机器,而且有一个是福建泉州的adsl拨号账户和江苏联通的用户,要查证的话必然要从它开始查了,呵呵,可惜我不是取证专家,查证的事就放在一旁吧。
图三:/var/log/secure看到的ssh登陆日志
用last日志看一下过去的登陆记录,如下图四显示,可以看出从域名floman2.mediasat登陆,用nslookup查询竟然找不到这个域名。
图四:last日志