2024年11月Linux服务器被rootkit攻击后该如何处理?

发布时间:

  ⑴rootkit是一种恶意软件,通常和木马等其他恶意程序一起结合使用,而Linux是其重要的攻击对象,那么Linux被rootkit攻击后该怎么办呢?下面小编就给大家介绍下Linux服务器被rootkit攻击后该如何处理。

  ⑵IT行业发展到现在,安全问题已经变得至关重要,从最近的“棱镜门”事件中,折射出了很多安全问题,信息安全问题已变得刻不容缓,而做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先要站在攻击者的角度思考问题,修补任何潜在的威胁和漏洞。

  ⑶下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路和处理过程,rootkit攻击是Linux系统下最常见的攻击手段和攻击方式。

  ⑷这是一台客户的门户网站服务器,托管在电信机房,客户接到电信的通知:由于此服务器持续对外发送数据包,导致M带宽耗尽,于是电信就切断了此服务器的网络。此服务器是Centos.版本,对外开放了、端口。

  ⑸从客户那里了解到,网站的访问量并不大,所以带宽占用也不会太高,而耗尽M的带宽是绝对不可能的,那么极有可能是服务器遭受了流量攻击,于是登录服务器做详细的检测。

  ⑹在电信人员的配合下通过交换机对该服务器的网络流量进行了检测,发现该主机确实存在对外端口的扫描流量,于是登录系统通过“stat –an”命令对系统开启的端口进行检查,可奇怪的是,没有发现任何与端口相关的网络连接。接着使用“ps –ef”、“top”等命令也没有发现任何可疑的进程。于是怀疑系统是否被植入了rootkit。

  ⑺为了证明系统是否被植入了rootkit,我们将网站服务器下的ps、top等命令与之前备份的同版本可信操作系统命令做了mdsum校验,结果发现网站服务器下的这两个命令确实被修改过,由此断定,此服务器已经被入侵并且安装了rootkit级别的后门程序。

  ⑻由于服务器不停向外发包,因此,首先要做的就是将此服务器断开网络,然后分析系统日志,寻找攻击源。但是系统命令已经被替换掉了,如果继续在该系统上执行操作将变得不可信,这里可以通过两种方法来避免这种情况,第一种方法是将此服务器的硬盘取下来挂载到另外一台安全的主机上进行分析,另一种方式就是从一个同版本可信操作系统下拷贝所有命令到这个入侵服务器下某个路径,然后在执行命令的时候指定此命令的完整路径即可,这里采用第二种方法。

  ⑼我们首先查看了系统的登录日志,查看是否有可疑登录信息,执行如下命令:

  ⑽more /var/log/secure |grep Aepted

  ⑾通过对命令输出的查看,有一条日志引起了我们的怀疑:

  ⑿Oct :: webserver sshd[]: Aepted password for mail from ... port ssh

  ⒀这条日志显示在月号的凌晨点分,有个mail帐号从...这个IP成功登录了系统,mail是系统的内置帐号,默认情况下是无法执行登录操作的,而...这个IP,经过查证,是来自爱尔兰的一个地址。从mail帐号登录的时间来看,早于此网站服务器遭受攻击的时间。

  ⒁接着查看一下系统密码文件/etc/shadow,又发现可疑信息:

  ⒂mail:$$kCEdyD$WevaYBMPQIqfTwTVJiX:::::::

  ⒃很明显,mail帐号已经被设置了密码,并且被修改为可远程登录,之所以使用mail帐号,猜想可能是因为入侵者想留下一个隐蔽的帐号,以方便日后再次登录系统。

  ⒄然后继续查看其他系统日志,如/var/log/messages、/var/log/wtmp均为空文件,可见,入侵者已经清理了系统日志文件,至于为何没有清空/var/log/secure文件,就不得而知了。

  ⒅到目前为止,我们所知道的情况是,有个mail帐号曾经登录过系统,但是为何会导致此网站服务器持续对外发送数据包呢?必须要找到对应的攻击源,通过替换到此服务器上的ps命令查看系统目前运行的进程,又发现了新的可疑:

  ⒆nobody Sep ? -:: .t

  ⒇这个.t程序是什么呢,继续执行top命令,结果如下:

  ⒈PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ MAND

  ⒉ nobody m m S . . : .t

  ⒊从输出可知,这个t程序已经运行了天左右,运行这个程序的是nobody用户,并且这个t程序消耗了大量的内存和cpu,这也是之前客户反映的网站服务器异常缓慢的原因,从这个输出,我们得到了t程序的进程PID为,接下来根据PID查找下执行程序的路径在哪里:

  ⒋进入内存目录,查看对应PID目录下exe文件的信息:

  ⒌[rootwebserver ~]# /mnt/bin/ls -al /proc//exe

  ⒍lrwxrwxrwx root root Sep : /proc//exe -》 /var/tmp/…/apa/t

  ⒎这样就找到了进程对应的完整程序执行路径,这个路径很隐蔽,由于/var/tmp目录默认情况下任何用户可读性,而入侵者就是利用这个漏洞在/var/tmp目录下创建了一个“…”的目录,而在这个目录下隐藏着攻击的程序源,进入/var/tmp/…/目录,发现了一些列入侵者放置的rootkit文件,列表如下:

  ⒏[rootwebserver 。。.]#/mnt/bin/ls -al

  ⒐drwxr-xr-x nobody nobody Sep : apa

  ⒑-rw-r--r-- nobody nobody Sep : apa.tgz

  ⒒drwxr-xr-x nobody nobody Sep : caca

  ⒓drwxr-xr-x nobody nobody Sep : haha

  ⒔-rw-r--r-- nobody nobody Sep : kk.tar.gz-

  ⒕rwxr-xr-x nobody nobody Sep : login

  ⒖-rw-r--r-- nobody nobody Sep : login.tgz

  ⒗-rwxr-xr-x nobody nobody Sep : z