本人网站一次被黑的经历与反思 心得与体会

2012年5月22日17时许，发现公司一台非正式生产服务器（有公网ip）的root密码被修改，导致无法登陆服务器，排查处理过程如下：
1、通过vmware vcenter管理端进入单用户模式修改root密码
2、查看最近登陆信息，如下：
[root@localhost home]# last | more
root pts/5 218.247.13.60 tue may 22 18:12 still logged in
root pts/4 120.72.48.70 tue may 22 17:59 still logged in
root pts/3 120.72.48.70 tue may 22 17:49 still logged in
root pts/2 218.247.13.60 tue may 22 17:37 still logged in
root pts/1 218.247.13.60 tue may 22 17:37 still logged in
root pts/0 218.247.13.60 tue may 22 16:56 still logged in
root tty1 tue may 22 16:56 - 16:56 (00:00)
reboot system boot 2.6.18-238.el5 tue may 22 16:55 (01:56)
reboot system boot 2.6.18-238.el5 tue may 22 16:53 (00:00)
lilei pts/3 120.72.48.52 tue may 22 17:03 - down (00:05)
root pts/0 188.173.171.146 tue may 22 16:16 - 16:30 (00:13)
发现16:16分来自罗马尼亚的ip（ip138资源）有登陆
立刻查看secure日志，如下
may 22 16:16:46 localhost sshd[26364]: address 188.173.171.146 maps to 188-173-171-146.next-
gen.ro, but this does not map back to the address - possible break-in attempt!
may 22 16:16:48 localhost sshd[26364]: accepted password for root from 188.173.171.146 port
1493 ssh2
may 22 16:16:48 localhost sshd[26364]: pam_unix(sshd:session): session opened for user root by
(uid=0)
may 22 16:17:09 localhost passwd: pam_unix(passwd:chauthtok): password changed for root
may 22 16:24:53 localhost sshd[3521]: received signal 15; terminating.
may 22 16:34:51 localhost sshd[26364]: pam_unix(sshd:session): session closed for user root
may 22 16:39:47 localhost groupadd[1622]: new group: name=screen, gid=84
可以确定此机已经被黑，首先将此ip 188.173.171.146加入hosts.deny防止在处理过程中再次破坏，通过日志可以看出，被建立了一个组screen gid为84，在/etc/group中找到删除，继续排查。
由于此机器非正式环境使用，安全方面无过多策略，只开启http下载服务，扫描端口如下：
[root@localhost home]# nmap 127.0.0.1
starting nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2012-05-23 15:13 cst
interesting ports on localhost.localdomain (127.0.0.1):
not shown: 1676 closed ports
port state service
22/tcp open ssh
25/tcp open smtp
80/tcp open http
111/tcp open rpcbind
900/tcp open unknown
ps查看进程如下
[root@localhost home]# ps aux
user pid %cpu %mem vsz rss tty stat start time command
root 3676 0.0 0.0 74836 1236 ? s 16:56 0:00 crond
xfs 3699 0.0 0.0 20108 1044 ? s 16:56 0:00 xfs -droppriv -da
avahi 3750 0.0 0.0 23172 1284 ? s 16:56 0:00 avahi-daemon: run
avahi 3751 0.0 0.0 23172 340 ? s 16:56 0:00 avahi-daemon: chr
root 3883 0.0 0.0 18440 480 ? s 16:56 0:00 /usr/sbin/smartd
root 3888 0.0 0.0 3816 492 tty2 s 16:56 0:00 /sbin/mingetty tt
root 3890 0.0 0.0 3816 492 tty3 s 16:56 0:00 /sbin/mingetty tt
root 3891 0.0 0.0 3816 484 tty4 s 16:56 0:00 /sbin/mingetty tt
root 3892 0.0 0.0 3816 488 tty5 s 16:56 0:00 /sbin/mingetty tt
root 3893 0.0 0.0 3816 484 tty6 s 16:56 0:00 /sbin/mingetty tt
root 3959 0.0 0.8 258352 16992 ? sn 16:56 0:00 /usr/bin/python -
root 3961 0.0 0.0 12940 1192 ? sn 16:56 0:00 /usr/libexec/gam_
root 4024 0.0 0.0 3816 492 tty1 s 16:56 0:00 /sbin/mingetty tt
root 4025 0.0 0.0 24068 1740 ? s 16:56 0:00 sshd: root@pts/0,
root 4036 0.0 0.0 66088 1580 pts/0 s 16:56 0:00 -bash
root 4944 0.5 0.2 157528 5196 ? s 17:24 0:28 /usr/bin/python /
root 5170 0.0 0.0 66084 1484 pts/1 s 17:37 0:00 -bash
root 5200 0.0 0.0 24068 1696 ? s 17:37 0:00 sshd: root@pts/2
root 5208 0.0 0.0 66088 1536 pts/2 s 17:37 0:00 -bash
root 5341 0.0 0.0 23904 1688 ? s 17:49 0:00 sshd: root@pts/3
root 5349 0.0 0.0 66088 1572 pts/3 s 17:49 0:00 -bash
root 5457 0.0 0.0 23904 1548 ? s 17:59 0:00 sshd: root@pts/4
root 5465 0.0 0.0 66084 1484 pts/4 s 17:59 0:00 -bash
root 5591 0.0 0.0 24068 1704 ? s 18:12 0:00 sshd: root@pts/5
root 5599 0.0 0.0 66088 1568 pts/5 s 18:12 0:00 -bash
root 5895 0.0 0.1 4200 2092 pts/5 r 18:53 0:00 ps aux
从进程并未看出有什么异常进程，继续排查
查看日志目录，发现www.jb51.net maillog日志异常大，内容如下：
)
may 22 16:53:48 localhost sendmail[3647]: q4m8rjff003627: to=<bloodvio@yahoo.com>, ctladdr=<root@localhost.localdomain> (0/0), delay=00:00:03, xdelay=00:00:03, mailer=esmtp, pri=120382, relay=mta5.am0.yahoodns.net. [66.94.238.147], dsn=2.0.0, stat=sent (ok dirdel)
may 22 16:56:30 localhost sendmail[3965]: q4m8uu5j003965: to=bloodvio@yahoo.com, ctladdr=root (0/0), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=30083, relay=[127.0.0.1] [127.0.0.1], dsn=2.0.0, stat=sent (q4m8uuoa003985 message accepted for delivery)
may 22 16:56:32 localhost sendmail[3987]: q4m8uuoa003985: to=<bloodvio@yahoo.com>, ctladdr=<root@localhost.localdomain> (0/0), delay=00:00:02, xdelay=00:00:02, mailer=esmtp, pri=120381, relay=mta5.am0.yahoodns.net. [67.195.103.233], dsn=2.0.0, stat=sent (ok dirdel)
may 22 16:56:43 localhost sendmail[4030]: q4m8uhgd004030: to=bloodvio@yahoo.com, ctladdr=root (0/0), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=30083, relay=[127.0.0.1] [127.0.0.1], dsn=2.0.0, stat=sent (q4m8uhr3004033 message accepted for delivery)
may 22 16:56:46 localhost sendmail[4035]: q4m8uhr3004033: to=<bloodvio@yahoo.com>, ctladdr=<root@localhost.localdomain> (0/0), delay=00:00:03, xdelay=00:00:03, mailer=esmtp, pri=120381, relay=mta5.am0.yahoodns.net. [72.30.235.196], dsn=2.0.0, stat=sent (ok dirdel)
可以看出，在频繁给yahoo发邮件，本以为此人只为盗发邮件才入侵我的机器，但是仔细一看，以前被盗发邮件都发送给不同账号，但这个是同一账号，应该是黑客接收邮件的客户端。
继续排查。
查看定时任务：
[root@localhost mabil]# ls /var/spool/crron
root
[root@localhost mail]# crontab -l
0 6 * * * /usr/sbin/ntpdate asia.pool.ntp.org >>/var/log/ntpdatelog
没有异常的定时任务
查看用户
[root@localhost mail]# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/bin/bash
oprofile:x:16:16:special user account to be used by oprofile:/home/oprofile:/sbin/nologin
sshd:x:74:74:privilege-separated ssh:/var/empty/sshd:/sbin/nologin
xfs:x:43:43:x font server:/etc/x11/fs:/sbin/nologin
rpcuser:x:29:29:rpc service user:/var/lib/nfs:/sbin/nologin
nfsnobody:x:4294967294:4294967294:anonymous nfs user:/var/lib/nfs:/sbin/nologin
haldaemon:x:68:68:hal daemon:/:/sbin/nologin
avahi-autoipd:x:100:156:avahi-autoipd:/var/lib/avahi-autoipd:/sbin/nologin
apache:x:48:48:apache:/var/www:/sbin/nologin
nagios:x:502:501::/home/nagios:/bin/bash
异常：仔细看一下bin用户的登陆shell，默认应该为/sbin/nologin，它为/bin/bash，也就是意味着它可以通过密码登陆系统，改之。
查看group
root:x:0:root
bin:x:1:root,bin,daemon
daemon:x:2:root,bin,daemon
sys:x:3:root,bin,adm
adm:x:4:root,adm,daemon
tty:x:5:
nagios:x:501:
screen:x:84:
除了最后一行screen（已经在日志中提示）异常，其他无异常，删之
到了此时，不知道如何排查了，感觉被黑以后并没有对服务器做过多操作，top盯着看看吧，有什么特殊进程：啊哈，看到了，不是进程，是显示，
6:53pm up 1:59, 6 users, load average: 0.00, 0.00, 0.00
102 processes: 101 sleeping, 1 running, 0 zombie, 0 stopped
cpu states: 0.7% user, 0.6% system, 0.0% nice, 98.5% idle
mem: 2058840k av, 613508k used, 1445332k free, 0k shrd, 86528k buff
swap: 2064376k av, 0k used, 2064376k free 327072k cached
$<5>$<3>$<2>$<2>unknown command `
' -- hit `h' for help$<2>ize rss share stat lib %cpu %mem time command
1 root 15 0 10372 688 576 s 0 0.0 0.0 0:00 init
2 root 0k -5 0 0 0 sw< 0 0.0 0.0 0:00 migration/0
3 root 34 19 0 0 0 swn 0 0.0 0.0 0:00 ksoftirqd/0
4 root 10 -5 0 0 0 sw< 0 0.0 0.0 0:00 events/0
5 root 10 -5 0 0 0 sw< 0 0.0 0.0 0:00 khelper
第一行：前面有个空格
第三行：cpu显示
第五行：swap显示
还有字体，上面部分与下面进程 显示部分完全不是一个字体
立刻想到的就是系统命令被人替换了
查看top命令的信息
-rwxr-xr-x 1 122 114 33992 mar 31 2010 /usr/bin/top
属主、属组都是那么的诡异，122类似这样的用户一般为上传文件所拥有
具体看一下文件大小
[root@localhost home]# ll -ha /usr/bin/top
ls: invalid option -- h
try `ls --help' for more information.
ls命令也被改了
利用find命令查找下最近被修改过的文件：
find / -user 122 | xargs ls -l
输出如下：
-rwxr-xr-x 1 122 114 39696 mar 1 2010 /bin/ls
-rwxr-xr-x 1 122 114 54152 jan 27 2010 /bin/netstat
-rwxr-xr-x 1 122 114 62920 mar 31 2010 /bin/ps
-rwxr-xr-x 1 122 114 31504 jan 27 2010 /sbin/ifconfig
-rwxr-xr-x 1 122 114 212747 mar 1 2010 /sbin/ttyload
-rwxrwxr-x 1 122 114 93476 mar 1 2010 /sbin/ttymon
-rwxr-xr-x 1 122 114 39696 mar 1 2010 /usr/bin/dir
-rwxr-xr-x 1 122 114 59536 sep 4 2009 /usr/bin/find
-rwxr-xr-x 1 122 114 31452 mar 1 2010 /usr/bin/md5sum
-rwxr-xr-x 1 122 114 12340 sep 27 2009 /usr/bin/pstree
-rwxr-xr-x 1 122 114 33992 mar 31 2010 /usr/bin/top
-rwxr-xr-x 1 122 114 82628 jan 10 2007 /usr/sbin/lsof
这些系统命令已经被更换过了
如何解决呢？直接从相同系统拷贝一份过来就可以了
那么，先备份这些命令吧
[root@localhost home]# mv /bin/ls /bin/ls.bak
mv: cannot move `/bin/ls' to `/bin/ls.bak': operation not permitted
在看看自己的登陆用户：
[root@localhost home]# id
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel) context=system_u:system_r:initrc_t
没有问题啊，文件普通权限也没问题，让我想起来chattr +i 去锁定文件修改权限
随即
find / -user 122 | xargs lsattr如下：
s----a------- /bin/ls
s---ia------- /sbin/ttyload
s---ia------- /sbin/ifconfig
s---ia------- /sbin/ttymon
s---ia------- /usr/sbin/lsof
s---ia------- /usr/bin/dir
s---ia------- /usr/bin/pstree
s---ia------- /usr/bin/top
s---ia------- /usr/bin/find
s----a------- /bin/ls
s---ia------- /bin/netstat
s---ia------- /bin/ps
看一下这些隐含权限的意思
a：append only，系统只允许在这个文件之后追加数据，不允许任何进程覆盖
或 截断这个文件。如果目录具有这个属性，系统将只允许在这个目录下建立和修改
文件，而不允许删除任何文件。
s：secure delete，让系统在删除这个文件时，使用0 填充文件所在的区域。
i：immutable，系统不允许对这个文件进行任何的修改。如果目录具有这个属性，
改掉：find / -user 122 | xargs chattr -a -i -s
改完以后，就可以备份删除了，从其他机器将相同文件拷贝过来，完成。
拷贝过程中发现两个问题：
1：/sbin/ttyload 正常系统中没有这个可执行文件
2：/sbin/ttymon 这个也是没有的
将这两个命令备份，然后重新使用正常的ps命令查看进程
这时候显示出了两个异常进程
ttyload && ttymon -q 两个进程（当时没记录下来就直接重启了）
这个进程我分析是个后门进程，重启后由于改了命令名字 就不在存在了。
然后就是去找，这两个进程是如何开机启动的以及调用什么文件：
ll /etc/init.d
-r-xr-xr-x 1 root sys 3414 mar 7 2011 sshd
发现sshd的开机启动服务权限不对，改掉，在核对文件大小无误后继续后面的排查
查找其他文件并无异常后，只能从两个异常文件继续下手了/sbin/ttyload /sbin/ttymont
利用top命令再次查看，负载达到了2.0 2.0 2.0
5172 root 25 0 88552 4028 1272 r 49.9 0.2 624:30.54 perl
19193 root 25 0 88552 4024 1272 s 49.9 0.2 541:24.42 perl
发现这两个进程占用系统资源比较高（我这台机器正常应该是无负载的）
查看: lsof -p 5172
perl 5172 root 3u ipv4 22292 tcp 120.72.48.51:51501-
>tampa.fl.us.undernet.org:ircd (established)
发现正在连接美国的一个域名（ip138),tcp信息包状态为established
查看ircd服务是什么：
[root@localhost ~]# cat /etc/services | grep ircd
ircd 6667/tcp # internet relay chat
ircd 6667/udp # internet relay chat
6667端口，查看下
[root@localhost ~]# lsof -i:6667
command pid user fd type device size node name
perl 5172 root 3u ipv4 22292 tcp 120.72.48.51:51501-
>tampa.fl.us.undernet.org:ircd (established)
perl 19193 root 3u ipv4 953876 tcp 120.72.48.51:55219-
>tampa.fl.us.undernet.org:ircd (established）
经过google，找到这样一篇文章认为此程序是个木马程序
查看此进程的command
[root@localhost ~]# ps aux | grep 5172
root 5172 48.1 0.1 88552 4028 ? r may23 627:05 /usr/sbin/sshd
立刻就明白了，正对应了/etc/init.d/sshd的权限有问题
老套路，替换、删除（包括/etc/init.d/sshd),然后重启系统
重启后，再次使用top命令查看，系统负载正常，进程也正常了，到此问题解决
观察了两天，发现并无异常了，但是由于是非正式生产机器，还是准备从做下系统以绝后患
一些安全方面的反思：
1、iptables是个好东西，提供四层的包过滤防护功能，运用得当可以防止很多安全隐患。
2、hosts.deny/allow ，存在于iptables之下的硬性防护措施，虽然不怎么灵活但是安全性更高
3、selinux，这个内核级的防护墙被很多人所放弃，主要是由于它很不灵活，如果运用不得当会更自己添加很多麻烦，但是它对于保护系统安全非常重要
4、sshd的策略，禁止root以及修改端口是个不错的办法
5、密码复杂性以及定期更换密码、检查系统账号是系统管理员的日常工作
6、第三方监控以及监控脚本是个不错的策略，zabbix和cacti都支持监控系统登录用户
7、系统漏洞：尽量使用较新版本的二进制包部署服务器的应用程序
8、第三方软件：fail2ban和denyhost这两款防护软件个人认为还不错
9、合理运用权限位控制系统文件被修改
作者：搁浅

如对本文有疑问， 点击进行留言回复！！