linux之在centos上一次艱難的木馬查殺過程
入侵環境分析:
自己搭建了一臺l2tp服務器在內網上,root權限的登錄密碼為弱密碼.搭建好了,測試成功之后,還是比較開心的感覺,因為我一般不是很喜歡在路由器上直接進行vpn連接,因此就把這個l2tp的服務從內網映射出去到外網。一般是通過外網的端口來訪問內網的l2tp服務器實現vpn連接的。這樣的話對于路由器來說的負載和服務開的較少,有利于路由器設備的維護。
突發狀況:
我的服務器一般情況下是不關機的,因此在l2tp服務器搭建成功之后,從來沒有關過機,而且很頻繁登陸到這個服務器上的服務去,因為我會在家里辦公需要連接訪問公司的內網獲取資料。從來沒有關過機。有一天晚上,公司內網整個區域很是卡頓,整個辦公區的網絡很順暢,因此管理員通過防火墻設備查到我的這臺服務器有很強的異常流量。于是通過防火墻設備把我的這臺設備給禁用了,不能訪問外網才使得公司內的網絡恢復了正常。
自我分析:
因為自己有多臺服務器在內網上,內網的服務器全是正常的,只有映射到外網上的服務器出了問題,這就是說明了,我的那臺外網服務器存在某一個漏洞或者是某一個缺陷,導致了被別人利用。這臺服務器我只是做了一個簡單的l2tp服務映射到了公網用于連接公司。
懷疑一、l2tp服務存在服務漏洞,映射出去后,被別人利用
懷疑二、軟口令,因為我的服務器的密碼是123456,映射到公網后,外網下通過掃描弱口令就可以使得你的服務器口令實施攻擊行為。
我自己的判斷是 弱口令所致,因為我的密碼實在是太簡單了。
登陸服務器查看原因:
首先在時間輪詢里看是否有自己創建的開機腳本cat /etc/crontab
查看到在時間輪詢中有一句不是自己創建的開機腳本為,說明是有個開機腳本是3分鐘執行一次的gcc.sh腳本
于是我就先打開這個腳本看看里面寫的到底是什么鬼東西
可以看到腳本的意思是不斷地檢測網卡的狀態,不斷地判斷所有的網卡,不斷的讓網卡處于開啟的狀態。不斷的與外界聯系。
于是這個 /lib/libudev.so文件就需要查看一下里面到底是什么的
排查到這里我們可以確定有幾個地方有問題
/lib/libudev.so
/etc/cron.hourly/gcc.sh
/etc/crontab
/etc.rc.d/init.d/ 這個文件夾下的所有文件全都是問題
/etc/rc.d/rc3.d/
通過排查可以肯定的是/lib/libudev.so是主體。其他是協助運行和自我保護自我復制的實現。既然這個程序在系統上,就可以把他處理掉。
重新開機重啟,問題解決。
在排查的過程中發現有一個自我復制的程序,發現了異常有10位字母的啟動腳本,打開之后的代碼為:
在排查看是發現在/etc/rc.d/的整個文件夾下包括rc0.d rc1.d rc2.d rc3.d rc4.d rc5.d rc.6目錄下面都有可疑程序
cat /etc/rc.d/rc0.d 下面確實這些可疑文件,刪除即可.
