我正在运行一个 ubuntu 服务器。今天我发现该服务器被黑客入侵,并被用于 DDoS 攻击(通过亚马逊滥用报告)。
我在服务器上发现了以下东西。
服务器上存在以下可疑文件。
-rw-r--r-- 1 www-data www-data 759 Dec 21 15:38 weiwei.pl
-rwxrwxrwx 1 www-data www-data 1223123 Dec 26 02:20 huizhen
-rwxr-xr-x 1 www-data www-data 5 Jan 26 14:21 gates.lod
-rwxrwxrwx 1 www-data www-data 1135000 Jan 27 14:09 sishen
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.5
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.4
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.3
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.2
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.1
-rwxr-xr-x 1 www-data www-data 5 Jan 28 14:00 vga.conf
-rw-r--r-- 1 www-data www-data 119 Jan 29 06:22 cmd.n
-rw-r--r-- 1 www-data www-data 73 Feb 1 01:01 conf.n
以下进程正在运行
www-data 8292 10629 0 Jan28 ? 00:00:00 perl /tmp/weiwei.pl 222.186.42.207 5222
www-data 8293 8292 0 Jan28 ? 00:00:00 /bin/bash -i
www-data 8293 8292 0 Jan28 ? 00:00:00 ./huizhen
我运行clamav后它删除了/tmp/huizhen文件/tmp/sishen但进程仍在运行weiwei.pl所以./huizhen我手动终止它们。
我在服务器上运行以下服务。
- SSH - 不使用默认端口 22,仅使用密钥验证
- MongoDB-端口对特定安全组开放
- Memcache-端口对特定安全组开放
- NodeJS-端口对特定安全组开放
- Tomcat - 8080/8443 端口对 axis2 webservice 和 solr 是公开的
我的假设是黑客通过某些 tomcat/axis2/solr 漏洞进入,因为该进程使用与 tomcat 相同的用户组运行。
我暂时封锁了 8080/8443 端口,并将用新服务器替换该服务器。 Tomcat 将通过 nginx 从其他服务器访问。 我还使用以下方法安装了安全补丁无人值守升级。
问题是如何找出黑客入侵并植入木马的方法。我还可以采取哪些其他措施来加强安全性。
答案1
这个问题相当合理。严格来说,回答这个问题的最佳方式是冻结系统并进行取证测试。您之后的任何干预(包括病毒清除)都将改变甚至完全抹去入侵者留下的任何痕迹。
鉴于这条路不再适合你,最好的办法是使用漏洞扫描程序,这是一个程序IE专为测试您的安装而设计。有很多,您可以直接在 Google 上搜索该术语Vulnerability Scanner,但迄今为止最广为人知的是涅索斯。它有多个版本,从免费版到付费版,有不同的许可证,而且价格可能相当昂贵,可能超出您愿意支付的价格。
不过,它还有一个免费版本,预装在卡利Linux。您必须注册它,即使它是完全免费的。我们许多人使用 Kali 的方式是将其安装到笔记本电脑上的 VM 上,然后在家外进行压力测试,以查看在面向 Internet 的服务器上运行的应用程序上遗留了哪些缺陷(通常为未修补的已知漏洞)。
互联网上有很多指南教你如何使用它,你也可以在自己的局域网内尝试它(如果你信任你的防火墙),甚至在同一台电脑内尝试,如果你将 Kali 作为虚拟机运行的话。