记一次Ubuntu服务器被黑经历

作者:笋干 时间:2023-08-28 23:38:20 

起因

最近我们的一台Ubuntu阿里云服务器一直提示有肉鸡行为,提示了好几天,开始并没有关注,然后连续几天后发现应该是个大问题啊。很可能服务被侵入了!!!

记一次Ubuntu服务器被黑经历

寻找线索

一开始我是完全懵逼的状态的,Linux不是很熟悉,只会简单的命令,安装部署redis,mongo这些东西。好吧,只能百度Google了!

寻找可疑进程

ps -ef

然而结果看起来一点头绪都没,非常不熟悉Linux底下常见的进程!

寻找相关的Log线索

Linux里有非常的多的日志文件,统一都存放在/var/log底下,这里我想先看看是不是有人破解了账号入侵了服务器

cat /var/log/faillog --登陆失败日志

cat /var/log/auth.log --验证日志

确实发现了一些蛛丝马迹(解决完后发现可能并非如此,暂时还没有研究下去)

记一次Ubuntu服务器被黑经历

在auth.log中发现了大量的Failed,这说明有人在尝试暴力破解密码,最可疑的是大量的session opened for user root by (uid=0)(开始我觉得是入侵进去了?)。百度了下,发现几个线索:

阿里云官方发布了脏牛漏洞的公告https://bbs.aliyun.com/read/297492.html

一篇黑客对决http://ruby-china.org/topics/23848

仔细看了下之后发现, * !黑客对决这篇和我的情况如出一辙啊~前几天为了部署ExceptionLess,迁移ElasticSearch到Linux。并没有注意El的安全性啊。

寻找木马

再一次查看进程,这次有文档帮助,有了大致的了解,并且拿另外一台Linux服务器的进程做了一次对比。立马定位到了可疑进程。

记一次Ubuntu服务器被黑经历

通过elastic+ 启动的这几个进程显然是木马进程,依据上边的文档,可以初步说明木马没有取得root权限,而运行在elastic的用户权限底下。

找到了进程,怎么找到文件?百度!

cd /proc/31598
ls -l exe

记一次Ubuntu服务器被黑经历

* 还删除了!不过也定位到可疑的地方/tmp
立即去/tmp查看

记一次Ubuntu服务器被黑经历

这些文件应该就是木马了,down下来打开看了下,确实是木马!也百度到了一些信息,这些就是肉鸡程序了!文档

干掉木马

找到了木马,最后就要干掉它,不过谨慎起见我还是做了一些其他的功课,防止随意杀掉之后,造成木马的更大破坏。(然而也就是百度了下,发现Linux只是太薄弱)

停止ElasticSearch

service elasticsearch stop

更换ElasticSearch配置,这是这个漏洞的关键!

script.disable_dynamic: true --从flase改成true

我在想这样的一个动态脚本能力是怎么考虑的?妥妥的漏洞啊,就像上次的Redis默认无安全验证问题一样啊!!!

删掉temp

rm -rf /tmp

我这是很愤怒的!不过冲动是魔鬼,rm -rf请慎重!!!整个服务器删掉的悲伤故事就是它惹的。

批量杀掉进程

kill -9 $(ps -ef | grep elastic | grep -v grep | awk '{print $2}')

重新查看下进程列表 确保木马不重启

ps -ef

结果看起来是乐观的,不过是不是真的杀掉了?还需要时间的检验了?
重启Elastichsearch

service elasticearch start
为了更安全起见,服务器都加强了密码,还用ClamAV扫了一遍。

续集?? 希望不要有续集了!!!

总结

这次的安全事故,我想大概像我这样的Linux新手不在少数,随着.NET的跨平台,大量的.NET应用会依赖更多的linux环境组件,Linux的应用安全一定也是需要更受我们重视的(虽然Linux不是在业界号称比Windows安全嘛,不过Linux应该会说这是Elasticsearch的锅啊!!!)

以上所述是小编给大家介绍的Ubuntu服务器被黑经历,希望对大家有所帮助

来源:http://www.cnblogs.com/capqueen/p/Elasticsearch0day.html

标签:ubuntu,服务器
0
投稿

猜你喜欢

  • ZHN:如何让采集更强大

    2009-08-23 14:35:00
  • SEO学习笔记:搜索引擎对作弊的判断条件

    2009-01-17 18:05:00
  • 酷6网员工猝死事件续:死者家属已携骨灰离京

    2009-11-20 14:45:00
  • Packetdrill的简明使用手册

    2021-11-05 13:18:52
  • CentOS7挂载新数据盘的完整步骤

    2022-12-02 18:53:00
  • 快速有效进行推广新建网站的二十六个途径

    2008-11-20 20:34:00
  • 如何添加GoDaddy域名 Godaddy

    2010-04-24 12:56:00
  • 在Centos部署nodejs的步骤

    2023-07-29 15:30:50
  • PHPWind v7.3.2“引用”的返回链接如果链接到主题部分出错

    2009-05-31 17:09:00
  • Linux知识点小结

    2022-02-04 10:01:06
  • 如何个性化设置你的Linux操作系统环境

    2009-09-20 19:39:00
  • 正视SEO的发展与出路

    2007-10-15 12:39:00
  • proftpd学习笔记(二)

    2010-05-18 18:18:00
  • 11个鲜为人知的网络盈利渠道

    2008-03-23 13:42:00
  • 浅谈影响外部链接权重的十大因素

    2009-01-16 15:05:00
  • PHP版本的选择

    2010-01-23 12:58:00
  • Windows2003服务器安装及设置教程——MSSQL安全篇二

    2010-02-08 13:01:00
  • 面向用户的优化

    2009-01-04 10:56:00
  • PHP None-Thread Safe与Thread Safe(非线程安全与线程安全)版本的选择

    2010-02-10 12:23:00
  • 图文详解Linux服务器搭建JDK环境

    2023-06-24 19:01:13
  • asp之家 网站运营 m.aspxhome.com