1。原因:在家正常休息,我们放在上海主机机房的在线服务器突然d出,服务无法启动。然后,我让上海机房重启了一次,我就挂了,直到我远程连接。
2。现象:远程服务器发现这类信息。
嗨,请查看:http://pastie.org/pastes/10800563/text?键=hzm4hk4ihwx1jfxzfizzq的进一步信息关于您的文件!
你好,请查看:http://pastie.org/pastes/10800563/text?key=hzm4hk4ihwx1jfxzfizzq了解有关您的文件的更多信息!
你好,请查看:http://pastie.org/pastes/10800563/text?key=hzm4hk4ihwx1jfxzfizzq了解有关您的文件的更多信息!
你好,请查看:http://pastie.org/pastes/10800563/text?key=hzm4hk4ihwx1jfxzfizzq了解有关您的文件的更多信息!
你好,请查看:http://pastie.org/pastes/10800563/text?key=hzm4hk4ihwx1jfxzfizzq了解有关您的文件的更多信息!
你好,请查看:http://pastie.org/pastes/10800563/text?key=hzm4hk4ihwx1jfxzfizzq了解有关您的文件的更多信息!
登录信息
然后***去国外网站查了一下。
问候,
你的服务器被黑了,你的文件被删除了。
在它们被删除之前,我们将它们备份到我们控制的服务器上。
您必须将总共3个BTC发送到以下地址:1B1oU6EdREYffif3**********
否则,您的文件将在5天后被删除。
我们也可能会泄露你的文件。
你可以给[email protected]发电子邮件寻求支持。在付款之前,我们不会给任何文件。
再见!
发现被黑了。
3。开始故障排除:
首先,检查日志。之前做过安全运维,所以写过类似的检查命令和工具,开始一个一个的检查。
#检查是否是为管理员添加或修改的
查找/-键入f-perm4000
#Showfiles查看系统外是否有文件。
rpm-Vf/bin/ls
rpm-Vf/usr/sbin/sshd
rpm-Vf/sbin/ifconfig
rpm-Vf/usr/sbin/lsof
#检查elf文件是否已在系统中被替换。
#在web目录中运行
grep-r"getRuntime"。/
#看看有没有***
找到。-键入f-name"*。JSP“|xargsgrep-I”getruntime
#运行时被任何程序连接或调用
找到。-键入f-name"*。JSP"|xargsgrep-I"getHostAddress"
#返回ip地址字符串
找到。-键入f-name"*。JSP“|xargsgrep-I”wscript.shell
#创建WshShell对象可以运行程序, *** 作注册表,创建快捷方式,访问系统文件夹,管理环境变量。
找到。-键入f-name"*。jsp"|xargsgrep-i"gethostbyname"
#gethostbyname()返回一个指向hostent结构的指针,该结构包含对应于给定主机名的主机名和地址信息。
找到。-键入f-name"*。JSP“|xargsgrep-I”bash
#调用系统命令请求供电
找到。-键入f-name"*。JSP“|xargsgrep-I”JSPspy
#Jsp***默认名称
找到。-键入f-name"*。jsp"|xargsgrep-i"getParameter"
fgrep-R"admin_index.JSP"20120702.log>;log.txt
#检查是否存在对管理日志的未授权访问。
#在中间件所在的日志目录中运行命令。
fgrep-R"and1=1"*。日志>log.txt
fgrep-R"select"*。日志>log.txt
fgrep-R"union"*。日志>log.txt
fgrep-R"../../"*.日志>log.txt
fgrep-R"运行时"*。日志>log.txt
fgrep-R"passwd"*。日志>log.txt
#查看是否出现相应的记录。
fgrep-R"uname-a"*。日志>log.txt
fgrep-R"id"*。日志>log.txt
fgrep-R"ifconifg"*。日志>log.txt
fgrep-R"ls-l"*。日志>log.txt
#看看有没有壳***
#以root权限执行
cat/var/log/secure
#检查是否有未授权的管理信息。
tail-n10/var/log/secure
最后一个类别/变量/日志/wtmp
cat/var/log/sulog
#检查是否有未授权的su命令
cat/var/log/cron
#检查预定任务是否正常。
tail-n100~。/bash_history|更多
检查临时目录,看看是否有*****留下的残留文件。
ls-la/tmp
ls-la/var/tmp
#如果有.c.py.sh后缀的文件或者二进制elf文件。
检查出有点类似于***的ip,只能猜测然后查看ip地址过滤出这个ip的访问信息 并查看ip地址是那边的apr1703:14:56localhostsshd[11499]:警告:/etc/hosts.deny,第14行:缺少“:”分隔符
4月17日03:15:01localhostsshd[11499]:地址46.214.146.198映射到46-214-146-198.next-gen.ro,但这并没有映射回该地址-可能有人试图闯入!
4月17日03:15:01本地主机sshd[11499]:来自46.214.146.198的无效用户ubnt
4月17日03:15:01localhostsshd[11500]:input_userauth_request:无效的用户ubnt
4月17日03:15:01localhostsshd[11499]:PAM_UNIX(sshd:auth):检查通过;用户未知
04月17日03:15:01localhostsshd[11499]:PAM_UNIX(sshd:auth):认证失败;logname=uid=0euid=0tty=sshruser=rhost=46.214.146.198
apr1703:15:01localhostsshd[11499]:PAM_succeed_if(sshd:auth):检索有关用户ubnt的信息时出错
4月17日03:15:03localhostsshd[11499]:来自46.214.146.198端口34989ssh2的无效用户ubnt的密码失败
4月17日03时15分03秒本地主机sshd[11500]:连接被46.214.146.198关闭
就是他,查历史
发现来自46.214.146.198的日志无效用户ubnt。
历史记录和相关的访问日志已被删除,痕迹已被清除。
安装chrootkit检查是否有rootkit mkdir chrootkit cd chrootkit/ wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar zxvf chkrootkit.tar.gz cd chkrootkit-0.50/ ls yum install -y glibc-static make sense ./chkrootkit检查没有异常。
打开vi/etc/motd进行探索
找不到后门,也找不到相关命令,感觉头脑受损,很迷茫。
最后,找到第二天的web访问日志和相关的ip访问
发现了一个让我很好奇的命令,GET/cgi-bin/center.cgi?id=20HTTP/1.1
有点不寻常。
找到目前最流行的bashshell漏洞,测试一下,有一个漏洞。
envx='(){:;};echovulnerable'bash-c"echo这是一个测试"
[root@mall~]#envx='(){:;};echovulnerable'bash-c"echo这是一个测试"
易受伤害的
这是一个测试
4。修复升级命令:
yum-yinstallyum-downloadonly
yum-y安装bash-4.1.2-33.el6_7.1.x86_64.rpm
[root@malltmp]#yum-y安装bash-4.1.2-33.el6_7.1.x86_64.rpm
加载的插件:fastestmirror,安全
设置过程
诊断bash-4.1.2-33.el6_7.1.x86_64.rpm:bash-4.1.2-33.el6_7.1.x86_64
bash-4.1.2-33.el6_7.1.x86_64.rpm将是bash-4.1.2-15.el6_4.x86_64的更新。
从缓存的主机文件加载镜像速度
*基地:ftp.sjtu.edu.cn
*临时演员:mirrors.skyshe.cn
*最新情况:ftp.sjtu.edu.cn
解决依赖关系
->;执行交易检查
->;packagebash.x86_640:4.1.2-15.el6_4将会升级
->;包bash.x86_640:4.1.2-33.el6_7.1将是一个更新
->;完成依赖性计算。
依赖性解析
======================================================================================================================================================================================
总文件大小:3.0米
下载软件包:
运行rpm_check_debug
执行交易测试
交易测试成功。
执行交易
升级:bash-4.1.2-33.el6_7.1.x86_64
清理:bash-4.1.2-15.el6_4.x86_64
正在验证:bash-4.1.2-33.el6_7.1.x86_64
正在验证:bash-4.1.2-15.el6_4.x86_64
更新完成:
bash.x86_640:4.1.2-33.el6_7.1
完毕!
重新检测
[root@malltmp]#envx='(){:;};echovulnerable'bash-c"echo这是一个测试"
这是一个测试
5。完成后,采取了以下措施:
1.更改了系统帐户的密码。
2.将sshd端口修改为2220。
3.修改nginx用户nologin。
4.在系统服务器中发现bash严重漏洞Shellshock并修复。
5.更新完成后,不存在***或服务器自动宕机的现象。
6。漏洞利用的过程:
我发送一个GET请求->目标服务器cgi路径
目标服务器解析get请求,当遇到UserAgent背后的参数时,Bash解释器执行以下命令。
7。外壳冲击介绍
Shellshock又称Bashdoor,是Unix中广泛使用的Bashshell中的安全漏洞。2014年9月24日首次公开。许多互联网守护程序,如web服务器,使用bash来处理某些命令,从而允许***人在易受攻击的Bash版本上执行任意代码。这可以让***人未经授权访问计算机系统。
8。相关文章:
http://zone.wooyun.org/content/15392
http://www.freebuf.com/articles/system/50707.html
http://bobao.360.cn/news/detail/408.html
http://hacker-falcon.blog.163.com/blog/static/23979900320148294531576/
————————————————————————————————————————————————
如果你觉得作者的文章不错,请通过支付宝或微信打赏作者一些钱~
不需要太多(0.1,1元,3元,5元都可以)。不给我打赏请给我一个赞。谢谢大家!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)