18禁网站免费,成年人黄色视频网站,熟妇高潮一区二区在线播放,国产精品高潮呻吟AV

學(xué)習(xí)啦>學(xué)習(xí)電腦>操作系統(tǒng)>Linux教程>

Linux服務(wù)器被rootkit攻擊怎么辦(2)

時(shí)間: 孫勝龍652 分享

  5、查找攻擊原因

  到這里為止,服務(wù)器上遭受的攻擊已經(jīng)基本清晰了,但是入侵者是如何侵入這臺(tái)服務(wù)器的呢?這個(gè)問(wèn)題很重要,一定要找到入侵的根源,才能從根本上封堵漏洞。

  為了弄清楚入侵者是如何進(jìn)入服務(wù)器的,需要了解下此服務(wù)器的軟件環(huán)境,這臺(tái)服務(wù)器是一個(gè)基于java的web服務(wù)器,安裝的軟件有apache2.0.63、tomcat5.5,apache和tomcat之間通過(guò)mod_jk模塊進(jìn)行集成,apache對(duì)外開(kāi)放80端口,由于tomcat沒(méi)有對(duì)外開(kāi)放端口,所以將問(wèn)題集中到apache上面。

  通過(guò)查看apache的配置發(fā)現(xiàn),apache僅僅處理些靜態(tài)資源請(qǐng)求,而網(wǎng)頁(yè)也以靜態(tài)頁(yè)面居多,所以通過(guò)網(wǎng)頁(yè)方式入侵系統(tǒng)可能性不大,既然漏洞可能來(lái)自于apache,那么嘗試查看apache日志,也許能發(fā)現(xiàn)一些可疑的訪問(wèn)痕跡,通過(guò)查看access.log文件,發(fā)現(xiàn)了如下信息:

  62.17.163.186 - - [29/Sep/2013:22:17:06 +0800] “GET http://www.xxx.com/cgi-bin/awstats.pl?configdir=|echo;echo;ps+-aux%00 HTTP/1.0” 200 12333 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.8.1) Gecko/20121010 Firefox/2.0”

  62.17.163.186 - - [29/Sep/213:22:17:35 +0800] “GET http://www.xxx.com/cgi-bin/awstats.pl?configdir=|echo;echo;cd+/var/tmp/。。./haha;ls+-a%00 HTTP/1.0” 200 1626 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.8.1) Gecko/20121010 Firefox/2.0”

  至此,發(fā)現(xiàn)了漏洞的根源,原來(lái)是awstats.pl腳本中configdir的一個(gè)漏洞,通過(guò)了解此服務(wù)器的應(yīng)用,客戶確實(shí)是通過(guò)一個(gè)Awstats的開(kāi)源插件來(lái)做網(wǎng)頁(yè)訪問(wèn)統(tǒng)計(jì),通過(guò)這個(gè)漏洞,攻擊者可以直接在瀏覽器上操作服務(wù)器,例如查看進(jìn)程、創(chuàng)建目錄等。通過(guò)上面第二條日志可以看出,攻擊者正常瀏覽器執(zhí)行切換到/var/tmp/。。./haha目錄的操作。

  這個(gè)腳本漏洞挺可怕的,不過(guò)在Awstats官網(wǎng)也早已給出了修補(bǔ)的方法,對(duì)于這個(gè)漏洞,修復(fù)方法很簡(jiǎn)單,打開(kāi)awstats.pl文件,找到如下信息:

  if ($QueryString =~ /configdir=([^&]+)/i)

  {

  $DirConfig=&DecodeEncodedString(“ class="main">

Linux服務(wù)器被rootkit攻擊怎么辦(2)

時(shí)間: 孫勝龍652 分享

  }

  修改為如下即可:

  if ($QueryString =~ /configdir=([^&]+)/i)

  {

  $DirConfig=&DecodeEncodedString(“ class="main">

Linux服務(wù)器被rootkit攻擊怎么辦(2)

時(shí)間: 孫勝龍652 分享

  $DirConfig=~tr/a-z0-9_\-\/\。/a-z0-9_\-\/\。/cd;

  }

  6、揭開(kāi)謎團(tuán)

  通過(guò)上面逐步分析和介紹,此服務(wù)遭受入侵的原因和過(guò)程已經(jīng)非常清楚了,大致過(guò)程如下:

  (1)攻擊者通過(guò)Awstats腳本awstats.pl文件的漏洞進(jìn)入了系統(tǒng),在/var/tmp目錄下創(chuàng)建了隱藏目錄,然后將rootkit后門(mén)文件傳到這個(gè)路徑下。

  (2)攻擊者通過(guò)植入后門(mén)程序,獲取了系統(tǒng)超級(jí)用戶權(quán)限,進(jìn)而控制了這臺(tái)服務(wù)器,通過(guò)這臺(tái)服務(wù)器向外發(fā)包。

  (3)攻擊者的IP地址62.17.163.186可能是通過(guò)代理過(guò)來(lái)的,也可能是攻擊者控制的其他肉雞服務(wù)器。

  (4)攻擊者為了永久控制這臺(tái)機(jī)器,修改了系統(tǒng)默認(rèn)帳號(hào)mail的信息,將mail帳號(hào)變?yōu)榭傻卿?,并且設(shè)置了mail帳號(hào)的密碼。

  (5)攻擊者在完成攻擊后,通過(guò)后門(mén)程序自動(dòng)清理了系統(tǒng)訪問(wèn)日志,毀滅了證據(jù)。

  通過(guò)對(duì)這個(gè)入侵過(guò)程的分析,發(fā)現(xiàn)入侵者的手段還是非常簡(jiǎn)單和普遍的,雖然入侵者刪除了系統(tǒng)的一些日志,但是還是留下了很多可查的蹤跡,其實(shí)還可以查看用戶下的.bash_history文件,這個(gè)文件是用戶操作命令的歷史記錄。

  7、如何恢復(fù)網(wǎng)站

  由于系統(tǒng)已經(jīng)文件被更改和替換,此系統(tǒng)已經(jīng)變得完全不可信,因此建議備份網(wǎng)站數(shù)據(jù),重新安裝系統(tǒng),基本步驟如下:

  (1)安裝穩(wěn)定版本的操作系統(tǒng),刪除系統(tǒng)默認(rèn)的并且不需要的用戶。

  (2)系統(tǒng)登錄方式改為公鑰認(rèn)證方式,避開(kāi)密碼認(rèn)證的缺陷。

  (3)安裝更高版本的apache和最新穩(wěn)定版本的Awstats程序。

  (4)使用Linux下的Tcp_Wrappers防火墻,限制ssh登錄的源地址。

  上面就是Linux服務(wù)器被rootkit攻擊后的處理方法,你要先對(duì)服務(wù)器進(jìn)行分析,確實(shí)是否是rootkit攻擊所致,然后再根據(jù)具體情況進(jìn)行恢復(fù)。

307929