记一次Linux被入侵的经历
时间:2022-05-03
本文章向大家介绍记一次Linux被入侵的经历,主要内容包括事件起因、处理过程、检查系统文件是否被替换、检查有无其他可疑进程、检查有无可疑的定时任务、事后总结、基本概念、基础应用、原理机制和需要注意的事项等,并结合实例形式分析了其使用技巧,希望通过本文能帮助到大家理解应用这部分内容。
Linux入侵经历 被入侵的一次经历 今天给大家说说一次被入侵的经历,仅供大家参考。
事件起因
2017年9月7日下午测试带宽,登录到服务器。在/tmp目录下发现可疑执行文件SPR。然后,检查是否有该进程启动。果然有该进程,基本可以判断该系统已经被入侵了。
根据操作记录发现,入侵者从某个IP地址(江苏镇江电信)下载了可疑程序SPR。修改了其为可执行。然后把该程序放到了/root目录及/tmp目录。该程序产生的文件放到了/tmp目录下。
处理过程
杀掉可疑进程及文件
把SPR进程给杀掉后,又在/root及/tmp目录下把SPR程序个删除了。过后进行检查是否操作成功,发现系统又自动启动了SPR进程及生成SPR程序。这时判断,应该还有其他可疑的进程在作祟。
这时,检查有无可疑的定时任务,发现没有。那么,再仔细检查有无可疑的进程,发现一个名为/usr/bin/.sshd的进程。杀掉该进程后,这时系统不会自动产生可疑文件了。
检查系统文件是否被替换
使用如下命令来检测系统文件是否被替换:
[root@server log]# rpm -Va
Unsatisfied dependencies for ghostscript-fonts-5.50-23.1.el6.noarch:
xorg-x11-font-utils is needed by ghostscript-fonts-5.50-23.1.el6.noarch
.......T. /lib/firmware/iwlwifi-5150-2.ucode
missing d /lib/firmware/LICENSE.usb8388
.......T. /lib/firmware/ql2200_fw.bin
....L.... /opt/dell/srvadmin/sbin/invcol
S.?...... /usr/lib64/libxmlrpc_client.so.3.16
.M....... /lib64
.M....... /sbin
.M....... /sys
.M....... /usr/lib64
.M....... /usr/sbin
S.5....T. c /etc/hosts.deny
S.5....T. c /etc/profile
S.5....T. c /etc/rc.d/rc.local
S.5....T. c /etc/sysctl.conf
SM5....T. c /etc/snmp/snmpd.conf
S.5....T. c /etc/sfcb/sfcb.cfg
.......T. /lib/firmware/iwlwifi-6000-4.ucode
....L.... c /etc/pam.d/fingerprint-auth
....L.... c /etc/pam.d/password-auth
....L.... c /etc/pam.d/smartcard-auth
....L.... c /etc/pam.d/system-auth
S.5....T. c /etc/security/limits.conf
S.5....T. c /etc/security/limits.d/90-nproc.conf
missing c /etc/my.cnf
.......T. c /etc/maven/maven2-depmap.xml
missing /opt/MegaRAID/MegaCli/MegaCli
.....U... /opt/MegaRAID/MegaCli/MegaCli64
.....U... /opt/MegaRAID/MegaCli/libstorelibir-2.so.14.07-0
S.5....T. c /etc/ssh/sshd_config
S.?...... /usr/lib64/libsnappy.so.1.1.4
对于上述输出中标记的含义介绍如下:
- S 表示文件长度发生了变化
- M 表示文件的访问权限或文件类型发生了变化
- 5 表示MD5校验和发生了变化
- D 表示设备节点的属性发生了变化
- L 表示文件的符号链接发生了变化
- U 表示文件/子目录/设备节点的owner发生了变化
- G 表示文件/子目录/设备节点的group发生了变化
- T 表示文件最后一次的修改时间发生了变化
如果在输出结果中有“M”标记出现,那么对应的文件可能已经遭到篡改或替换,此时可以通过卸载这个RPM包重新安装来清除受攻击的文件。
检查有无其他可疑进程
使用ps命令进行查看有无可疑的其他进程。还有一个问题就是,系统的ps命令如果被替换了,我们有可能就查看不出可疑进程了。
检查有无可疑的定时任务
定时任务一般不会做什么手脚。最有可能的是修改了系统的启动脚本。
事后总结
本次系统被入侵,主要是由于系统密码过于简单所致。密码简单到。。。,哎,你懂得。
设置复杂的密码,使用工具生成随机的密码,且密码长度大于20位。
- Spring Cloud实战小贴士:Zuul统一异常处理(三)【Dalston版】
- 算法之红黑树
- MIDlet工作原理
- 第五章 正则表达式的拆分【修订】
- 仿今天头条加载环境文字闪动效果
- Myexclipse创建Junit测试
- 基于ASP.NET MVC(C#)和Quartz.Net组件实现的定时执行任务调度
- 第五章 正则表达式的拆分
- android 防止反编译的若干方法
- 支持Ajax跨域访问ASP.NET Web Api 2(Cors)的简单示例教程演示
- android 股票K线图
- github搭建个人网站
- Android:一个高效的UI才是一个拉风的UI
- 什么是ORM?为什么用ORM?浅析ORM的使用及利弊
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- Array - 277 Find the Celebrity
- Array - 80. Remove Duplicates from Sorted Array II
- Array - 508. Wiggle Sort
- Array - 376. Wiggle Subsequence
- Array - 283. Move Zeroes
- Array - 88. Merge Sorted Array
- Array - 228. Summary Ranges
- Array - 152. Maximum Product Subarray
- Focal Loss和它背后的男人RetinaNet
- Array - 53. Maximum Subarray
- Array - 295. Find Median from Data Stream
- Array - 239. Sliding Window Maximum
- Array - 164. Maximum Gap
- Array - 128. Longest Consecutive Sequence
- String - 13. Roman to Integer