最近我們的一臺(tái)Ubuntu阿里云服務(wù)器一直提示有肉雞行為,提示了好幾天,開始并沒有關(guān)注,然后連續(xù)幾天后發(fā)現(xiàn)應(yīng)該是個(gè)大問題啊。很可能服務(wù)被侵入了!!!

尋找線索

一開始我是完全懵逼的狀態(tài)的,Linux不是很熟悉,只會(huì)簡(jiǎn)單的命令,安裝部署redis,mongo這些東西。好吧,只能百度Google了!

  1. 尋找可疑進(jìn)程

ps -ef
然而結(jié)果看起來一點(diǎn)頭緒都沒,非常不熟悉Linux底下常見的進(jìn)程!

  1. 尋找相關(guān)的Log線索

Linux里有非常的多的日志文件,統(tǒng)一都存放在/var/log底下,這里我想先看看是不是有人破解了賬號(hào)入侵了服務(wù)器
cat /var/log/faillog --登陸失敗日志
cat /var/log/auth.log --驗(yàn)證日志

確實(shí)發(fā)現(xiàn)了一些蛛絲馬跡(解決完后發(fā)現(xiàn)可能并非如此,暫時(shí)還沒有研究下去)

在auth.log中發(fā)現(xiàn)了大量的Failed,這說明有人在嘗試暴力破解密碼,最可疑的是大量的session opened for user root by (uid=0)(開始我覺得是入侵進(jìn)去了?)。百度了下,發(fā)現(xiàn)幾個(gè)線索:

  1. 阿里云官方發(fā)布了臟牛漏洞的公告https://bbs.aliyun.com/read/297492.html
  2. 一篇黑客對(duì)決http://ruby-china.org/topics/23848

仔細(xì)看了下之后發(fā)現(xiàn),臥槽!黑客對(duì)決這篇和我的情況如出一轍啊~前幾天為了部署ExceptionLess,遷移ElasticSearch到Linux。并沒有注意El的安全性啊。

尋找木馬

再一次查看進(jìn)程,這次有文檔幫助,有了大致的了解,并且拿另外一臺(tái)Linux服務(wù)器的進(jìn)程做了一次對(duì)比。立馬定位到了可疑進(jìn)程。

網(wǎng)友評(píng)論