360°网站管家_运维学院_提供最新最全的服务器运维视频教程与网站维护视频教程

 找回密码
 快速注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
1 2 3 4
查看: 2825|回复: 0
打印 上一主题 下一主题

一个面板引发的血案(珍爱生命,远离面板!)

[复制链接]

823

主题

909

帖子

4623

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
4623
跳转到指定楼层
楼主
发表于 2015-10-9 11:39:04 | 只看该作者 |只看大图 回帖奖励 |正序浏览 |阅读模式

亲!这问题您也搜索很久了吧?不如咨询下我们吧


613049616  613049616  613049616   613049616   613049616


QQ上一位阿里云用户发来的截图:


很明显,机器被入侵了,并且被黑 客用来对外发包或者扫描了。

登录系统后,ps命令结果有下面这些内容:


看到这,可以100%确定是被入侵了。

再来看看黑 客在做什么:


到这里基本可以下结论了,这位客户的机器上安装了WDCP面板,而这个面板最近又出了漏洞,很有可能是通过这个漏洞入侵进来,并且在入侵后又把这位客户的机器作为肉鸡,对外进行扫描、入侵,这一切,都是全自动化的!

查明情况后,就是善后处理了。

面板的漏洞不同于网站程序的漏洞,网站程序的漏洞被入侵后,如果做好严格的安全设置,被入侵了很难拿到系统的root权限,但是面板漏洞不同,面板本身必须要具有系统的管理权限,那么一旦面板出现了漏洞,很多情况下都是会被直接拿到root权限。

黑 客有了root权限后,系统中所有的工具都是不可信的。

后来查明,ps命令本身(/bin/ps)被作了替换,替换了之后仍具有ps命令本来的功能,但是会把命令结果中的一部分内容隐藏掉,而且,替换后的ps命令被加进了上面3.rar这个程序的功能。
查看了客户机器的系统版本后,启动了我本地PC虚拟机中的相同的系统,复制了一份ps命令程序,传到了客户的系统中。
恢复了ps命令之后,可以看到了原来隐藏的内容:

这个和上面的3.rar是同一个程序。

有了正常的ps程序之后,把所有的进程都检查了一遍。

用rootkit检测工具跑了一遍,没有发现情况,和往常一样,自动化的入侵不太喜欢装rootkit,但是基本都会替换掉系统中常用的管理命令,比如前面说的ps,后来又发现netstat命令也被黑 客做了替换。

自动化的入侵中,黑 客更追求量,而非质,这样就留下了很多马脚给检查提供了便利,比如替换了程序之后,文件日期都是没有伪装的。

把所有有问题的命令程序都处理结果后,带宽占用恢复了正常。但是善后工作并没有结束,被搞到root权限后,系统中所有必要的安全检查都要做一遍。

如果您也安装了WDCP这个面板,但是系统中没有异常情况,不要忘了检查下/www/wdlinux/wdapache/logs/access_log这个日志,进一步确定是否有被入侵(现在的黑 客们已经懒到很少有人去删除自己的日志,要么不删,要么清空)。


全文完。

AD:Linux技术支持&安全维护请联系QQ 9178859。
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则


Archiver|手机版|小黑屋|360wzgj Inc. 百度统计

GMT+8, 2024-11-1 16:28 , Processed in 0.072609 second(s), 32 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表