Linux服務器被rootkit攻擊怎么辦
rootkit是一種惡意軟件,通常和木馬等其他惡意程序一起結(jié)合使用,而Linux是其重要的攻擊對象,那么Linux被rootkit攻擊后該怎么辦呢?下面學習啦小編就給大家介紹下Linux服務器被rootkit攻擊后該如何處理。
IT行業(yè)發(fā)展到現(xiàn)在,安全問題已經(jīng)變得至關重要,從最近的“棱鏡門”事件中,折射出了很多安全問題,信息安全問題已變得刻不容緩,而做為運維人員,就必須了解一些安全運維準則,同時,要保護自己所負責的業(yè)務,首先要站在攻擊者的角度思考問題,修補任何潛在的威脅和漏洞。
下面通過一個案例介紹下當一個服務器被rootkit入侵后的處理思路和處理過程,rootkit攻擊是Linux系統(tǒng)下最常見的攻擊手段和攻擊方式。
1、受攻擊現(xiàn)象
這是一臺客戶的門戶網(wǎng)站服務器,托管在電信機房,客戶接到電信的通知:由于此服務器持續(xù)對外發(fā)送數(shù)據(jù)包,導致100M帶寬耗盡,于是電信就切斷了此服務器的網(wǎng)絡。此服務器是Centos5.5版本,對外開放了80、22端口。
從客戶那里了解到,網(wǎng)站的訪問量并不大,所以帶寬占用也不會太高,而耗盡100M的帶寬是絕對不可能的,那么極有可能是服務器遭受了流量攻擊,于是登錄服務器做詳細的檢測。
2、初步分析
在電信人員的配合下通過交換機對該服務器的網(wǎng)絡流量進行了檢測,發(fā)現(xiàn)該主機確實存在對外80端口的掃描流量,于是登錄系統(tǒng)通過“netstat –an”命令對系統(tǒng)開啟的端口進行檢查,可奇怪的是,沒有發(fā)現(xiàn)任何與80端口相關的網(wǎng)絡連接。接著使用“ps –ef”、“top”等命令也沒有發(fā)現(xiàn)任何可疑的進程。于是懷疑系統(tǒng)是否被植入了rootkit。
為了證明系統(tǒng)是否被植入了rootkit,我們將網(wǎng)站服務器下的ps、top等命令與之前備份的同版本可信操作系統(tǒng)命令做了md5sum校驗,結(jié)果發(fā)現(xiàn)網(wǎng)站服務器下的這兩個命令確實被修改過,由此斷定,此服務器已經(jīng)被入侵并且安裝了rootkit級別的后門程序。
3、斷網(wǎng)分析系統(tǒng)
由于服務器不停向外發(fā)包,因此,首先要做的就是將此服務器斷開網(wǎng)絡,然后分析系統(tǒng)日志,尋找攻擊源。但是系統(tǒng)命令已經(jīng)被替換掉了,如果繼續(xù)在該系統(tǒng)上執(zhí)行操作將變得不可信,這里可以通過兩種方法來避免這種情況,第一種方法是將此服務器的硬盤取下來掛載到另外一臺安全的主機上進行分析,另一種方式就是從一個同版本可信操作系統(tǒng)下拷貝所有命令到這個入侵服務器下某個路徑,然后在執(zhí)行命令的時候指定此命令的完整路徑即可,這里采用第二種方法。
我們首先查看了系統(tǒng)的登錄日志,查看是否有可疑登錄信息,執(zhí)行如下命令:
more /var/log/secure |grep Accepted
通過對命令輸出的查看,有一條日志引起了我們的懷疑:
Oct 3 03:10:25 webserver sshd[20701]: Accepted password for mail from 62.17.163.186 port 53349 ssh2
這條日志顯示在10月3號的凌晨3點10分,有個mail帳號從62.17.163.186這個IP成功登錄了系統(tǒng),mail是系統(tǒng)的內(nèi)置帳號,默認情況下是無法執(zhí)行登錄操作的,而62.17.163.186這個IP,經(jīng)過查證,是來自愛爾蘭的一個地址。從mail帳號登錄的時間來看,早于此網(wǎng)站服務器遭受攻擊的時間。
接著查看一下系統(tǒng)密碼文件/etc/shadow,又發(fā)現(xiàn)可疑信息:
mail: class="main">
Linux服務器被rootkit攻擊怎么辦
很明顯,mail帳號已經(jīng)被設置了密碼,并且被修改為可遠程登錄,之所以使用mail帳號,猜想可能是因為入侵者想留下一個隱蔽的帳號,以方便日后再次登錄系統(tǒng)。
然后繼續(xù)查看其他系統(tǒng)日志,如/var/log/messages、/var/log/wtmp均為空文件,可見,入侵者已經(jīng)清理了系統(tǒng)日志文件,至于為何沒有清空/var/log/secure文件,就不得而知了。
4、尋找攻擊源
到目前為止,我們所知道的情況是,有個mail帳號曾經(jīng)登錄過系統(tǒng),但是為何會導致此網(wǎng)站服務器持續(xù)對外發(fā)送數(shù)據(jù)包呢?必須要找到對應的攻擊源,通過替換到此服務器上的ps命令查看系統(tǒng)目前運行的進程,又發(fā)現(xiàn)了新的可疑:
nobody 22765 1 6 Sep29 ? 4-00:11:58 .t
這個.t程序是什么呢,繼續(xù)執(zhí)行top命令,結(jié)果如下:
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
22765 nobody 15 0 1740m 1362m 1228 S 98.3 91.5 2892:19 .t
從輸出可知,這個t程序已經(jīng)運行了4天左右,運行這個程序的是nobody用戶,并且這個t程序消耗了大量的內(nèi)存和cpu,這也是之前客戶反映的網(wǎng)站服務器異常緩慢的原因,從這個輸出,我們得到了t程序的進程PID為22765,接下來根據(jù)PID查找下執(zhí)行程序的路徑在哪里:
進入內(nèi)存目錄,查看對應PID目錄下exe文件的信息:
[root@webserver ~]# /mnt/bin/ls -al /proc/22765/exe
lrwxrwxrwx 1 root root 0 Sep 29 22:09 /proc/22765/exe -》 /var/tmp/…/apa/t
這樣就找到了進程對應的完整程序執(zhí)行路徑,這個路徑很隱蔽,由于/var/tmp目錄默認情況下任何用戶可讀性,而入侵者就是利用這個漏洞在/var/tmp目錄下創(chuàng)建了一個“…”的目錄,而在這個目錄下隱藏著攻擊的程序源,進入/var/tmp/…/目錄,發(fā)現(xiàn)了一些列入侵者放置的rootkit文件,列表如下:
[root@webserver 。。.]#/mnt/bin/ls -al
drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 apa
-rw-r--r-- 1 nobody nobody 0 Sep 29 22:09 apa.tgz
drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 caca
drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 haha
-rw-r--r-- 1 nobody nobody 0Sep 29 22:10 kk.tar.gz-
rwxr-xr-x 1 nobody nobody 0 Sep 29 22:10 login
-rw-r--r-- 1 nobody nobody 0 Sep 29 22:10 login.tgz
-rwxr-xr-x 1 nobody nobody 0 Sep 29 22:10 z
通過對這些文件的分析,基本判斷這就是我們要找的程序攻擊源,其中:
1)、z程序是用來清除系統(tǒng)日志等相關信息的,例如執(zhí)行:
。/z 62.17.163.186
這條命令執(zhí)行后,系統(tǒng)中所有與62.17.163.186有關的日志將全部被清除掉。
2)、在apa目錄下有個后門程序t,這個就是之前在系統(tǒng)中看到的,運行此程序后,此程序會自動去讀apa目錄下的ip這個文件,而ip這個文件記錄了各種ip地址信息,猜想這個t程序應該是去掃描ip文件中記錄的所有ip信息,進而獲取遠程主機的權(quán)限,可見這個網(wǎng)站服務器已經(jīng)是入侵者的一個肉雞了。
3)、haha目錄里面放置的就是用來替換系統(tǒng)相關命令的程序,也就是這個目錄下的程序使我們無法看到操作系統(tǒng)的異常情況。
4)、login程序就是用來替換系統(tǒng)登錄程序的木馬程序,此程序還可以記錄登錄帳號和密碼。