对公司Linux服务器被入侵的溯源追踪



             临近五一,我们期盼放假休息的日子终于来了,本来想着好好的带家人出去游玩,好好

放松放松,客户公司的一台Linux服务器被黑了,该服务器用的是Linux 
才 centos系统,服务器

上运行着apache tomcat环境的JAVA网站,最近网站内容一
直被篡改,包括会员系统的数据也被

修改,比如银行卡号,会员的手机号,金额被
提现,BC注单也被修改,频繁的被攻击,导致客

户运营的平台损失严重,找到我们
SINE安全,我们针对客户这一情况进行了详细的分析与安全

检测,把处理服务器被
入侵问题的这个过程记录下来。

 
 
技术首先SSH登陆客户的Linux服务器,对服务器的相关进程进行安全检测,发现有一个异常的

进程,不是系统进程,而且对外的TCP端口也是比较特殊,引起了我们
的怀疑,随即对该进程

进行详细的查看,KILL掉这个进程,不一会又自动生成,经
过分析,确定是黑客留下来的Linux

木马后门。如下图:

 
可以看到该进程调用的端口对外连接的IP是一个香港的国外IP,CD 进程号,我们去查看进程的

详细信息,读取内存里保存的信息,发现是用init脚本来启用的木马
进程,并写入到了系统自启

动的目录里,导致进程不死。
在往下看,查到了该文件存在的位置是在etc目录下的cron文件夹

里,shcy8.sh为
木马文件,看下里面的木马内容写的很简短,但是调用了一个so文件,我们溯

源追
查到这个so文件,发现了木马的代码。

 

 
服务器被入侵的解决办法:
 
1.用linux命令删除木马代码,并删除自启动的文件,针对于Linux自启动目录设置
 
防篡改部署,禁止一切文件写入。
 
2.删除etc/cron里的SH恶意脚本,并也部署防篡改,防止文件写,增,删。
 
3.KILL掉进程,并重启Linux服务器。
 
4.针对于apache tomcat网站,进行网站安全检测,代码的安全分析,发现后门并
 
清理掉,如果有漏洞就进行网站的漏洞修复。
 
5.修改服务器的SSH默认端口22,避免暴力破解。
 
最后客户要求追查这个入侵服务器的攻击者,我们通过last命令去查看最近服务器的登录情况,发

现了问题,在四月二十六日就被入侵了,入侵者已经登录过服务器
了,查了该IP是江苏的,发现该

IP常常破解人家的SSH端口root密码,咨询了客
户才知道,密码设置的很简单,被该IP暴力破解

了,关于服务器被黑,被入侵的问
题彻底得已解决。
分享: