2023-08-28 分类: 网站建设
每一个高手在成长路上, 都需要与墙作足够的对抗. 要么你成功, 站在世界之颠, 然后尽情吸取到的知识; 或者或被它打趴下, 成为芸芸众生中的一人, 然后对它习以为常.
我也不例外.
前不久, 我刚在我的服务器上自行架好了自己的 "梯子". 这正是从 "梯子" 开始的故事.
开幕
夜已经深了, 我依然坐在电脑, 思索着一件事: 为什么倏忽之间, 历来运行的 "梯子", 倏忽就这么卡呢? 莫非已经被 "墙" 发现并限制了?
我不甘心地想, 这不可能, 我隐藏的这么好, 这么低调, 不会是我.
我拿出手中好爱的工具: ping.
开始了我的检测之旅.
60% 丢包, 这太夸张了, 这样的网络环境简直比帝都的交通环境还差千倍. 我在想.
试试另一个利器 traceroute 吧, 只有跳是通的, F**K, 果然是世界的局域网络, 运营商也敢非法丢弃我的检测包, 这个检测毫无收获.
但是, 看着我的 "梯子" 在云层摇摇晃晃(丢包), 我就心生决意: 不在对抗中成功, 就在对抗中消亡.
正在无所措时, "梯子" 所在的服务商给给我好爱的 Gmail 倏忽发送了一封至关主要的邮件, 上面赫然写道:
啊, 即将成为高手那种敏锐的第六感, 让我觉得, 我可能错怪 "墙" 了, 我可能被黑了.
检测
一阵饿意, 让我清醒了不少, 果然, 有些高手发明的 "轻断食" 疗法特别很是有用, 让我离高手更进了一步.
"我一定要把对手揪出来", 心里暗暗下决定.
ssh root@myblog.me
我开始连接到我的服务器, 步, 先从登录日志开始.
这是一个特别很是聪明的做法:
# whoroot pts/2 2015-01-20 3:00 (xx.xx.xx.xx)
嗯, 只有我一个人, 并没有抓住黑客的现行. "我想他不会这么笨, 让我当场拿住他", 心里暗想.
继续谙练地检查着有谁登录过系统, 通过 ip1381683 检测着 IP 的来源. 效果, 全是我这里的 IP, 没有人!!!
莫非我弄错了? 不是被黑了吗?
不行, 继续看登录日志.
看到这么多 ssh 爆破登录日志, 心里一阵凉意, 果然在互联网上混, 时刻要小心远方各种暗器. 岑寂一下, 慢慢找找看.
花了几十分钟之后, 除了各种用户名密码的登录失败外, 并没有通过密码登录成功的日志, 全无新的发现.
心里暗想, "对手也不弱嘛."
不过, 还有一个线索没有检查过: "目前服务器的流量仍然很高"
是时候运用我手中的核心武器了.
发现
目前思路照旧很清晰的, 要定位到底是哪个进程导致的高流量, 然后通过它的行为, 分析是否是黑客挂的马?
OK, 开始行动:
下载 iftop, 打开系统的流量面板, 10秒之后, 流量面板开始准确显示流量, 我的流量峰值高达 100mb/s. 调整一些饬令参数, 显示端口与 IP 信息.
iftop -nP
流量面板显示出是从我的服务器往外流出流量, 先从 30157 端口开始往外发送, 几秒之后, 就会循环切到 30000 - 50000 之间的一个端口继续发. 是 UDP 流量. 我断言.
果然, 再通过 netstat -anp 来检测打开端口情况, 发现并没有 TCP 上的状况, 确认了我的断言.
( UDP 流量是可以无状况的, 可以快速切换, TCP 反之, 可以通过工具抓到链接状况 )
但不幸的是, 这两个工具并不能显示出来是哪个进程作的鬼. 看来只有一个个看了.
ps aux
进程并不多, 很快就看完了, 有两个可疑进程:
ruby 5162 0.0 5.0 286128 102200 ? Sl 02:58 2:20 /usr/sbin/httpd -c ./init -d /home/ruby/lib/2
111 3033 0.0 5.0 1 2017 ? Sl 02:58 2:20 /tmp/freeBSD /tmp/freeBSD 1
第1点, 我使用的是 nginx 而不是 apache, 这里的 httpd 特别很是可疑. 第2点, freeBSD 显明是一个伪装, 进程的权限也令人可疑.
至此, 已经确认, 我的服务器已经被黑了. 接下来, 是时候对决的时候了.
对决
第1点的进程信息有一个目录特别很是可疑, 在 /home/ruby/lib, 这里是我的个人目录, 怎么会出现在这里的参数里呢?
进去看看: cd /home/ruby/lib
大吃一惊, 第六感告诉我, 这命名, 这习惯, 是一个黑客作为, 这不是我写的东西, 细心看看.
Oh no, 一个木马程序赫然在目, 这是一个特别很是显明的反向连接木马:
只要你把服务器打开, 它便会启动, 并主动连接到黑客指定的服务器, 报告黑客已经上线, 然后等待指令. 一旦有指令收到, 便会用自己控制的权限运行对应的程序. 特别很是可怕.
继续看, 它的配置文件如下:
这便是对手的反向连接的 IRC 地址, "这小子还真牛啊", 我心想, "他知道, 这样的 IRC 地址我根本无法进一步追踪."
现在, 被黑的事实已经确认, 却让我更忧虑的事情来了:
1、他有没有控制到我的 root 权限
一旦被控制了 root 权限, 系统就难于清理了, 因为他可以在任意位置插入自己的木马, 例如启动时, 驱动, 替代一个饬令, 隐藏在某个目录.
而且, 可以手动清理日志, 让你无法知道对方都干了什么, 这样子, 你就只能重装系统了.
2、他是如何黑进我的服务器
不能知道对方是如何黑的, 就无法制订有用的防御策略, 这是特别很是可怕的.
不过, 我知道, 我离真相已经越来越近了.
继续翻看他的木马程序, 发现一个特别很是有趣的东西: h.c.
里面注释上写着:
哈哈, psf 可翻译为进程堆栈伪造器. 顾名思义, 它是一个期骗 ps, top 饬令的指令输出的一个小工具.
细心查看它的说明, 可以发现:
1、无须 root 权限, 即可让你指定的进程伪造成任何一个进程名字.
2、ps, top, 许多进程监控工具都会被期骗.
它的原理也许如下:
在 main 函数里面(如下)的参数,
int main(int argc, char *argv[])
可以继续调用以下 execv 接口, 而 path 是可以与 main() 里的 agrv[0] 不一致, 可以精心构造的, 这样可以导致许多进程监控工具出现异常情况, 显示出精心构造的参数.
int execv( const char *path, char *const argv[])
看到这个工具, 我反而将之前的担扰悉数放下了: 用这点小伎俩来骗我, 说明你很可能没有拿到 root 权限.
我仿佛已经听到对方叹气的声音, 但又仿佛不是, 彷佛有一点点笑声.
不管那么多了, 下一步就要了他的命, 我在想.
挖掘
检查系统核心信息:
# 检查用户信息是否正常
cat /etc/passwd
# 检查系统文件是否被替代
find / -user 122 | xargs ls -l
一切显示正常, 那么, 系统很可能是没有被动到 root 的, 是时候找出被黑的原因了.
从另一个进程的线索下手.
进程号 111, 特别很是特殊, 从刚才的用户信息可以看到, 这个用户号属于: elasticsearch.
原来如此, 这个提醒信息太主要了, 此刻, 我还记得之前为了安装 railsgirlschina1683, 使用了campo3, 安装了它的依靠 elasticsearch, 而之前 Rei 专门发邮件告诉过我: 这货可能有远程执行漏洞.
舛错啊, 我已经打开了 ufw 防火墙了.
# ufw status
Status: inactive
什么, 没有打开? 心中一丝凉意侵入骨髓, 我的服务器竟然在严格的互联网环境上裸奔了这么久. 查看操作日志, 发现自从 1 月 8 号起, 防火墙就没有打开过.
而且, 是我亲自关闭了它. 难怪, 他的入侵成功日志正是 1 月 8 号.
此刻, 这位黑客的入侵手段几乎已经真相大白: 通过 elasticsearch 远程执行漏洞扫描工具扫进了我的服务器, 再运行了提权工具发现了 /home/ruby/ 目录是可写的.
此时, 他很聪明的伪装了它的木马, 虽然没有拿到 root 权限, 但仍然可以轻易的干掉我的博客进程( 虽然他没这么做 ). 还可以随时让我的服务器成为它的帮凶, 成为二次跳板, 或者对无辜者发动 DDOS 攻击.
而我, 也有一丝丝的侥幸, elasticsearch 并没有跑在 root 权限下, 而是使用了 111 号用户, 所以这次攻击他的好好收获也只能是, 获得我 ruby 用户的权限, 把我的服务器纳入他的肉鸡, 为他以后更大规模的行动埋下伏笔.
需要增补点能量了, 我在想, 刚才煮好的泡面已经到了嘴边.
"假如我成为黑客, 我一定通过他的反向代理木马黑曩昔", 我一边吃着一路在想, "当务之急, 照旧先清理这些木马吧."
清理
1、关闭源头
先打开防火墙: ufw enable.
清理 crontabs: crontab -l, rm /var/spool/cron/crontabs/ruby
杀掉木马进程: kill pid
2、处理漏洞
按照 elasticsearch 官方处理建议, 将默认的监听 IP 设定在 127.0.0.1, 关闭动态执行脚本能力:script.disable_dynamic: true ( 均在它的配置文件中完成 )
杀掉已被成功攻击的 elasticsearch 进程和子进程: kill -9 xxx
3、加固
看来, 离高手还差了不少, 我心在想, 以下措施要补救一下:
3.1 用户目录权限
之前, 采用 useradd 的默认用户目录权限 644, 许可任何用户进入, 才导致这个黑客得以入侵成功. 我把它关闭: chmod 700 /home/ruby
3.2 web 漏洞扫描
我需要在本地针对我的服务器做一些漏洞扫描.
3.3 防火墙保证开启
在 /etc/rc.local 加入: ufw enable
3.4 升级系统
说到这里, 马上两条饬令搞定:
apt-get update
apt-get upgrade
后记
随着流量的正常回落, 看到那我好心爱的 ping 上面好地显示着
我的 "梯子" 又稳定地回来了.
我觉得, 我离高手又近了一步. 倏忽, 显示器上开始缓慢的出现
我知道, 对方又回来了.
( 情节有小部分虚构, 如有相通, 纯属巧合 )
文章名称:要么成功要么被打趴下高手对决、博客服务器
文章网址:/news7/279257.html
成都网站建设公司_创新互联,为您提供静态网站、营销型网站建设、网站设计、星空体育app最新版本(2024已更新)、网页设计公司、做网站
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联
猜你还喜欢下面的内容