去年有台Linux服務器被黑了,看了500萬行日志(現在覺得當時好厲害呀),反正當時的日志文件有700Mb以上大。前兩天師兄告訴我,信息中心的老師給他說我們有台服務器應該是被人入侵了,當作內網的跳板,經常對內網中的其他服務器發出攻擊的數據。於是我連夜就去服務器上看了。
這是我第一次上這個服務器,什麼情況都不知道,只知道這個服務器是Linux(尼瑪具體是什麼發行版都要我去查),上面跑著一個網站。
進去之後,先看看是什麼發行版的。CentOS6.5,以前都只玩的Ubuntu,換這個上面多多少少還有點陌生的。好了廢話不多說了。
再去看看什麼網頁吧。cd /var/下面,沒有看到是www或者htdocs之類的目錄,不會是tomcat吧。搜索了一下,果然是。網頁內容先不看了,應該是已經提權成功了的。直接就去看看服務器算了。
寫文章的時候才意識到,我一開始不應該亂看其他的,應該先把.bash_history什麼的先備份下才對。算是給自己提一個醒吧。
看看passwd和shadow:
[root@localhost /]# stat /etc/passwd
File: "/etc/passwd"
Size: 1723 Blocks: 8 IO Block: 4096 普通文件
Device: fd00h/64768d Inode: 919098 Links: 1
Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2014-09-21 09:32:01.730288306 +0800
Modify: 2014-04-02 09:31:28.469644869 +0800
Change: 2014-04-02 09:31:28.503201786 +0800
[root@localhost /]# stat /etc/shadow
File: "/etc/shadow"
Size: 1177 Blocks: 8 IO Block: 4096 普通文件
Device: fd00h/64768d Inode: 919095 Links: 1
Access: (0000/----------) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2014-09-21 09:40:01.734126039 +0800
Modify: 2014-04-02 09:38:11.473125883 +0800
Change: 2014-04-02 09:38:11.498275087 +0800
看來是4月2號就入侵成功了呀。查看了下/home下的目錄,多了一個用戶。還是看看passwd吧。
[root@localhost /]#cat /etc/shadow
mysql:!!:15791:::::: tomcat:!!:15791:::::: chu:$6$kG9zMTps$7H61NSjXMY3/Jc/tZrJtCuwFn1mhDyWXVg4blFghfLdbQNXr.6Li9tYt5fYVJsIlvwb0z68k/EQXsUljZK6.L0:15793:0:99999:7::: sqzr:$6$yBrvX/HDaim/vrK4$uArYMq6Zr2XM7BWTzexC16RI6HGmOp9cs65AgLR.v.yx3rN0M6YzblNCJytGsguFSbsGN18OPpcyrSG63fKKS.:16162:0:99999:7:::
passwd就不寫出來了。在passwd中,sqzr這個用戶後面的和root一樣,也就是root權限了。userdel sqzr提示不能刪除,當前已經登錄,尼瑪,這個用戶就是給root取了個別名吧。直接修改兩個文件,刪除這一行。用戶就算是清理了。
看下進程:
21911 ? 00:00:00 .IptabLex
21917 ? 00:00:00 .IptabLes
29093 ? 00:00:02 prwpodebiq
這是什麼,第一眼還以為是防火牆,可是多了一個,再一想,Linux下面要區分大小寫的,這東西不對勁。
百度了下,發現確實是個病毒,也有其他人中招了。
http://www.xujiansheng.cn/2014/01/linux-viruses-iptablex-iptables/
還有那個prwpodebiq,完全沒有意義的進程名,如此大的pid,肯定有問題。
[root@localhost /]# find / -name prwpodebiq -print
/boot/prwpodebiq
/etc/rc.d/init.d/prwpodebiq[root@localhost /]# cd /boot/
[root@localhost boot]# ll
總用量 19858
-rw-r--r--. 1 root root 97862 5月 20 2011 config-2.6.32-71.el6.x86_64
drwxr-xr-x. 3 root root 1024 3月 27 2013 efi
drwxr-xr-x. 2 root root 1024 3月 27 2013 grub
-rw-r--r--. 1 root root 13419499 3月 27 2013 initramfs-2.6.32-71.el6.x86_64.img
lrwxrwxrwx 1 root root 25 9月 16 22:31 IptabLes -> /etc/rc.d/init.d/IptabLes
lrwxrwxrwx 1 root root 25 9月 16 22:31 IptabLex -> /etc/rc.d/init.d/IptabLex
drwx------. 2 root root 12288 3月 27 2013 lost+found
-rwxr-x--- 1 root root 613533 9月 21 21:29 prwpodebiq
-rw-r--r--. 1 root root 160542 5月 20 2011 symvers-2.6.32-71.el6.x86_64.gz
-rw-r--r--. 1 root root 2226490 5月 20 2011 System.map-2.6.32-71.el6.x86_64
-rwxr-xr-x. 1 root root 3791040 5月 20 2011 vmlinuz-2.6.32-71.el6.x86_64[root@localhost boot]# stat prwpodebiq
File: "prwpodebiq"
Size: 613533 Blocks: 1200 IO Block: 1024 普通文件
Device: 801h/2049d Inode: 22 Links: 1
Access: (0750/-rwxr-x---) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2014-09-21 23:16:18.000000000 +0800
Modify: 2014-09-21 21:29:26.000000000 +0800
Change: 2014-09-21 21:29:26.000000000 +0800
777的文件,定位到病毒了。
[root@localhost boot]# find / -name *IptabL* -print
/boot/.IptabLes
/boot/.IptabLex
/etc/rc.d/rc4.d/S55IptabLes
/etc/rc.d/rc4.d/S55IptabLex
/etc/rc.d/rc2.d/S55IptabLes
/etc/rc.d/rc2.d/S55IptabLex
/etc/rc.d/rc3.d/S55IptabLes
/etc/rc.d/rc3.d/S55IptabLex
/etc/rc.d/rc5.d/S55IptabLes