年关将至,服务器被入侵了怎么办?(3)
时间:2018-12-14 19:18 来源:网络整理 作者:墨客科技 点击:次
这种情况下很可能常用的系统命令已经被攻击者或者木马程序替换,可以通过md5sum对比本机二进制文件与正常机器的md5值是否一致,如果发现不一致,肯定是被替换了,可以从其他机器上拷贝命令到本机替换,或者alias为其他名称,避免为恶意程序再次替换。 被getshell怎么办? 漏洞修复前,系统立即下线,用内网环境访问。 上传点放到内网访问,不允许外网有类似的上传点,有上传点,而且没有校验文件类型很容易上传webshell。 被getshell的服务器中是否有敏感文件和数据库,如果有请检查是否有泄漏。 hosts文件中对应的host关系需要重新配置,攻击者可以配置hosts来访问测试环境。 重装系统。 案例分析 上面讲了很多思路的东西,相信大家更想看看实际案例,下面介绍两个案例。 先讲一个别人处理的,基本处理过程就是: 通过外部端口扫描收集开放端口信息,然后获取到反弹shell信息,登陆机器发现关键命令已经被替换,后面查看history记录,发现疑似木马文件,通过简单逆向和进程查看发现了异常进程,从而锁定了入侵原因。具体内容可以查看: 再讲一个笔者实际处理过的,基本处理流程跟上面提到的思路大同小异。 整个事情处理经过大致如下: 1、运维发现一台私有云主机间歇性的对外发送高达800Mbps的流量,影响了同一个网段的其他机器。 2、安全人员接到通知后,先确认了机器属于备机,没有跑在线业务,于是通知运维封禁iptables限制外网访问。 3、运维为安全人员临时开通机器权限,安全人员通过history和ps找到的入侵记录和异常进程锁定了对外大量发包的应用程序,清理了恶意进程并删除恶意程序。 恶意进程如下,经过在网络搜索发现是一种DDOS木马,但没有明确的处理思路: /usr/bin/bsd-port/getty/usr/bin/acpid./dbuspm-session /sbin/DDosClient RunByP4407/sbin/DDosClient RunByPM4673 处理过程中,安全人员怀疑系统文件被替换: 通过对比该机器与正常机器上面的ps、netstat等程序的大小发现敏感程序已经被替换,而且mtime也被修改。 正常机器 du -sh /bin/ps 92K /bin/ps du -sh /bin/netstat 120K /bin/netstat 被入侵机器 du -sh /bin/netstat 2.0M /bin/netstat du -sh /bin/ps 2.0M /bin/ps 将部分常用二进制文件修复后,发现异常进程被kill掉后仍重启了,于是安装杀毒软件clamav和rootkit hunter进行全盘扫描,从而确认了被感染的所有文件,将那些可以删除的文件删除后再次kill掉异常进程,则再没有重启的问题。 4、影响范围评估 由于该机器只是备机,上面没有敏感数据,于是信息泄露问题也就不存在了。 扫描同一网段机器端口开放情况、排查被入侵机器history是否有对外扫描或者入侵行为,为此还在该网段机器另外部署蜜罐进行监控。 5、深入分析入侵原因 (责任编辑:admin) |