我vps被人入侵了,现在保留现场着,要看的可以去看看

68 views
Skip to first unread message

xufan6

unread,
Feb 11, 2011, 11:17:23 AM2/11/11
to hz...@googlegroups.com
vps是ramhost的openvz
系统是ubuntu 10.04的
查了下时间是1月27号凌晨被入侵的
具体手法是什么不知道
准备今天(2月12日)下午重装
所以有想看现场的同学们可以去看一下。。。
passwd:xxooxxoo

再来讲一下现场
cat /tmp/x.sh
#!/bin/sh
cat > x << __EOF__
#include <stdio.h>
main(int c) {
  while(1) {
    c = getchar(); if(feof(stdin)) break;
    putchar(~c);
  }
}
__EOF__
gcc -x c x -o x; cat $1 | ./x; rm -f x
 
tail /etc/passwd
。。。
admin:x:0:0:,,,:/home/admin:/bin/bash
。。。 
 
今天请crhan同学协助帮忙查看
使用了如下脚本
for x in 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20; do  echo -n "$x:"; find / -mtime $x 2>/dev/null|wc -l 2>/dev/null;  done
发现是在15天前也就是一月27有异动, 被改了2239文件

使用find / -mtime 15 得到的结果在/home/xf/find、find_file、find.txt
三文件都大同小异的

如果大家还有什么好玩的发现欢迎反馈~
--
言巾午凡
web:xufan6.com
twitter:@xufan6
email: xuf...@gmail.com

Jeova Sanctus Unus

unread,
Feb 11, 2011, 8:10:55 PM2/11/11
to hz...@googlegroups.com
我把log打包了一下,弄回去研究下,楼主不介意吧:)
/home/xf/log.tar.bz2

> --
> 欢迎来到杭州Linux用户组邮件列表
> 要在列表里发起一个帖子(专业术语叫线索,thread) 发送邮件到 hz...@googlegroups.com
> 如要退订: 请发送空邮件至 hzlug+un...@googlegroups.com
> 详情请看: http://groups.google.com/group/hzlug?hl=zh-CN
>

Jeova Sanctus Unus

unread,
Feb 11, 2011, 8:16:57 PM2/11/11
to hz...@googlegroups.com
没看出来。不过给楼主两个建议。更换ssh端口。这样不会被扫描(基本不会了吧,我上次一换,就没人扫了。。。)。禁用密码登录。

xufan6

unread,
Feb 11, 2011, 8:17:08 PM2/11/11
to hz...@googlegroups.com
不介意
有成果发上来就可以了~

2011/2/12 Jeova Sanctus Unus <jeova.san...@gmail.com>
我把log打包了一下,弄回去研究下,楼主不介意吧:)

xufan6

unread,
Feb 11, 2011, 8:23:44 PM2/11/11
to hz...@googlegroups.com
我开始是为了方便,没换端口。
不过我有denyhost开着,输错3次封1小时的

2011/2/12 Jeova Sanctus Unus <jeova.san...@gmail.com>
没看出来。不过给楼主两个建议。更换ssh端口。这样不会被扫描(基本不会了吧,我上次一换,就没人扫了。。。)。禁用密码登录。

TualatriX

unread,
Feb 11, 2011, 8:27:13 PM2/11/11
to hz...@googlegroups.com
不知道是利用哪个漏洞入侵的。你是不是开了root帐户?

2011/2/12 xufan6 <xuf...@gmail.com>:

--
Tualatrix Chou
http://imtx.me

xufan6

unread,
Feb 11, 2011, 8:31:57 PM2/11/11
to hz...@googlegroups.com
我ssh里root是不能远程登陆的

2011/2/12 TualatriX <tual...@gmail.com>

陈若涵

unread,
Feb 12, 2011, 3:16:08 AM2/12/11
to hz...@googlegroups.com
惭愧 - -|| 今天看了TX的推才知道原来按照顺序输出1到20可以用`seq 1 20`或者直接用bash的展开{1..20}..


-----------
悲观的思考,乐观的生活.我们既需要思考的深度,也需要生活的温度!



2011/2/12 xufan6 <xuf...@gmail.com>

Fur Yao

unread,
Feb 15, 2011, 2:59:26 PM2/15/11
to hz...@googlegroups.com
我的博客被GFW认证了~~

2011/2/12 陈若涵 <crha...@gmail.com>



--
Blog:

More About Me:


银魂

unread,
Feb 15, 2011, 10:05:32 PM2/15/11
to hz...@googlegroups.com
封root登录, 外加密钥登录.
话说怎么发现自己vps被入侵的...

xufan6

unread,
Feb 16, 2011, 4:58:18 AM2/16/11
to hz...@googlegroups.com
root是万万不能开的。。
因为有时候需要在不是自己电脑上连vps,所以也不想关密码

发现是看/etc/passwd看到一个用户名是admin的用户,但怎么感觉都不是我自己开的。
还有就是/tmp里那段代码,我在一楼写出来的,据说是记录键盘操作的,这个我不懂。。

2011/2/16 银魂 <xws...@gmail.com>
封root登录, 外加密钥登录.
话说怎么发现自己vps被入侵的...

--
欢迎来到杭州Linux用户组邮件列表
要在列表里发起一个帖子(专业术语叫线索,thread) 发送邮件到 hz...@googlegroups.com
如要退订: 请发送空邮件至 hzlug+un...@googlegroups.com
详情请看: http://groups.google.com/group/hzlug?hl=zh-CN

夏凯

unread,
Feb 16, 2011, 5:14:55 AM2/16/11
to hz...@googlegroups.com
不见得,我们公司全国各地八千多服务器,都是开root登陆的。

> twitter:@xufan6 <https://twitter.com/xufan6>
> email: xuf...@gmail.com


>
> --
> 欢迎来到杭州Linux用户组邮件列表
> 要在列表里发起一个帖子(专业术语叫线索,thread) 发送邮件到 hz...@googlegroups.com
> 如要退订: 请发送空邮件至 hzlug+un...@googlegroups.com
> 详情请看: http://groups.google.com/group/hzlug?hl=zh-CN
>

--
从我的移动设备发送

contact me:
MSN: walk...@gmail.com
GTALK: walk...@gmail.com

夏凯

unread,
Feb 16, 2011, 5:36:45 AM2/16/11
to hz...@googlegroups.com
admin也可能是系统创建的,我的电脑也有,我记得是某个软件包创建的。服务器上强烈不建议安装gcc,系统被黑最常见的就是webshell和exploit,而exploit
90%要用到gcc,虽然还是有办法绕过,但是也是增加了他们的麻烦。至于刚才我说的root问题,其实我们只允许跳板机访问,而跳板机上的限制是严格到变态的程度,所有操作直接屏幕记录,没法删,上面连which命令都没。公司人太多,如果每人一个账号,维护成本太高,使用的密码也是标准的,如果哪台服务器的root密码不是标准的,就要保修。如果不用root用户,一样成本很高。

在 2011-02-16,xufan6<xuf...@gmail.com> 写道:

> twitter:@xufan6 <https://twitter.com/xufan6>
> email: xuf...@gmail.com


>
> --
> 欢迎来到杭州Linux用户组邮件列表
> 要在列表里发起一个帖子(专业术语叫线索,thread) 发送邮件到 hz...@googlegroups.com
> 如要退订: 请发送空邮件至 hzlug+un...@googlegroups.com
> 详情请看: http://groups.google.com/group/hzlug?hl=zh-CN
>

--

xufan6

unread,
Feb 16, 2011, 6:44:28 AM2/16/11
to hz...@googlegroups.com
嘿嘿,说root是太绝对了,我是指web直接能进入的。
p.s.我语文从小就不好,大家能够理解时候就意会一下,不理解时候说出来,我尽量解释清楚~

那个admin是因为出现在/etc/passwd中间,我先useradd过两个普通账号,后来装snmpd又有snmp系统创建的账户,而admin是出现在这两者之间。
我判断关键还是看到/tmp/x.sh里的段代码。。。

被黑肯定不是webshell,因为当时上面还没装php之类的动态语言
应该算是exploit,我承认当时密码是比较弱的

vps主要是用来折腾,所以gcc还是需要的
不过对于线上服务器,我也觉得还是不要gcc为好

2011/2/16 夏凯 <walk...@gmail.com>

陈若涵

unread,
Feb 16, 2011, 10:12:35 AM2/16/11
to hz...@googlegroups.com
..我觉得关键是那个admin的sid和gid都是0.。。。。。这才最明显的说明是人为的。。


-----------
悲观的思考,乐观的生活.我们既需要思考的深度,也需要生活的温度!



2011/2/16 xufan6 <xuf...@gmail.com>

王焱

unread,
Feb 16, 2011, 10:42:29 AM2/16/11
to hz...@googlegroups.com
开root不是个好习惯,你8000多台都开更不是个好习惯。

xufan6

unread,
Feb 16, 2011, 10:54:26 AM2/16/11
to hz...@googlegroups.com
企业有8000多台,肯定对这些都做过思考
必定有另外很严格的安全措施做着的
况且前面他也说过
至于刚才我说的root问题,其实我们只允许跳板机访问,而跳板机上的限制是严格到变态的程度,所有操作直接屏幕记录,没法删,上面连which命令都没。公司人太多,如果每人一个账号,维护成本太高,使用的密码也是标准的,如果哪台服务器的root密码不是标准的,就要保修。如果不用root用户,一样成本很高。

2011/2/16 王焱 <wangyan.bj@gmail.com>
开root不是个好习惯,你8000多台都开更不是个好习惯。



--
言巾午凡
web:xufan6.com
twitter:@xufan6
email: xuf...@gmail.com

夏凯

unread,
Feb 16, 2011, 6:32:45 PM2/16/11
to hz...@googlegroups.com
呃,不早说,这个就完全不一样了。

夏凯

unread,
Feb 16, 2011, 6:35:50 PM2/16/11
to hz...@googlegroups.com
很多时候,出于一些特殊的情况,会有一些和你直觉相反的事情出现。这个时候就要视具体情况而订了。我的错,没说清楚,所以后来的邮件补充了一下。

Liang Guo

unread,
Feb 17, 2011, 4:06:18 AM2/17/11
to hz...@googlegroups.com
2011/2/16 夏凯 <walk...@gmail.com>:

> admin也可能是系统创建的,我的电脑也有,我记得是某个软件包创建的。服务器上强烈不建议安装gcc,系统被黑最常见的就是webshell和exploit,而exploit
> 90%要用到gcc,虽然还是有办法绕过,但是也是增加了他们的麻烦。至于刚才我说的root问题,其实我们只允许跳板机访问,而跳板机上的限制是严格到变态的程度,所有操作直接屏幕记录,没法删,上面连which命令都没。公司人太多,如果每人一个账号,维护成本太高,使用的密码也是标准的,如果哪台服务器的root密码不是标准的,就要保修。如果不用root用户,一样成本很高。
>

在一个企业网络里边,如果启用了集中的身份认证,如MS AD,增加账号的成本会很低,和服务器的数量也没有相关性。

如果你们的网络环境中windows服务器比较多,则可以考虑MS AD,如果Unix/Linux比较多,则可以考虑使用Kerberos,
LDAP, NIS等方案,有兴趣可参考http://freeipa.org/page/Main_Page
这是一个基于Linux, Directory Server, MIT Kerberos, NTP, DNS等技术的解决方案。商业的UNIX系统也都有类似的方案

--
Liang Guo
http://bluestone.cublog.cn

夏凯

unread,
Feb 17, 2011, 4:16:59 AM2/17/11
to hz...@googlegroups.com
2011/2/17 Liang Guo <bluesto...@gmail.com>:

> 在一个企业网络里边,如果启用了集中的身份认证,如MS AD,增加账号的成本会很低,和服务器的数量也没有相关性。
>
> 如果你们的网络环境中windows服务器比较多,则可以考虑MS AD,如果Unix/Linux比较多,则可以考虑使用Kerberos,
> LDAP, NIS等方案,有兴趣可参考http://freeipa.org/page/Main_Page
> 这是一个基于Linux, Directory Server, MIT Kerberos, NTP, DNS等技术的解决方案。商业的UNIX系统也都有类似的方案
网络环境太复杂,国内、国外,各种isp,各种机房......这样做的话,成本太高了。
--

Liang Guo

unread,
Feb 17, 2011, 10:29:40 AM2/17/11
to hz...@googlegroups.com
2011/2/17 夏凯 <walk...@gmail.com>:

> 2011/2/17 Liang Guo <bluesto...@gmail.com>:
>> 在一个企业网络里边,如果启用了集中的身份认证,如MS AD,增加账号的成本会很低,和服务器的数量也没有相关性。
>>
>> 如果你们的网络环境中windows服务器比较多,则可以考虑MS AD,如果Unix/Linux比较多,则可以考虑使用Kerberos,
>> LDAP, NIS等方案,有兴趣可参考http://freeipa.org/page/Main_Page
>> 这是一个基于Linux, Directory Server, MIT Kerberos, NTP, DNS等技术的解决方案。商业的UNIX系统也都有类似的方案
> 网络环境太复杂,国内、国外,各种isp,各种机房......这样做的话,成本太高了。
> --
那个环境不是这样呢? 如果只有几台,几十台机器,集中认证反倒没有必要。

只要服务器通过网络连起来了, 就可以实现统一的认证管理。 使用统一的身份认证及其他管理系统, 硬件架构并未做太大改变,
而单个管理员能够管理的服务器会大大提高, 和分散的认证的方式相比, 成本反而会更低.

我服务的一个客户在全球有多个数据中心,数百个办公室,在一个数据中心就有上万台Linux服务器在运行.他们的系统在90年代就实现了统一的身份认证,具体情况可参考[1].

[1] http://www.usenix.org/publications/library/proceedings/lisa95/gittler.html

陈若涵

unread,
Feb 17, 2011, 10:44:44 AM2/17/11
to hz...@googlegroups.com
额。。其实我很奇怪他一直不说。。。。他说入侵的事情当天就感觉到不对了,但是一直不确认。。

xufan6跟我说了这个两个“0”的帐号我就觉得明显是被入侵了嘛。。。


-----------
悲观的思考,乐观的生活.我们既需要思考的深度,也需要生活的温度!



2011/2/17 夏凯 <walk...@gmail.com>

夏凯

unread,
Feb 17, 2011, 10:54:11 AM2/17/11
to hz...@googlegroups.com
2011/2/17 Liang Guo <bluesto...@gmail.com>:

> 那个环境不是这样呢? 如果只有几台,几十台机器,集中认证反倒没有必要。
> 只要服务器通过网络连起来了, 就可以实现统一的认证管理。 使用统一的身份认证及其他管理系统, 硬件架构并未做太大改变,
> 而单个管理员能够管理的服务器会大大提高, 和分散的认证的方式相比, 成本反而会更低.
> 我服务的一个客户在全球有多个数据中心,数百个办公室,在一个数据中心就有上万台Linux服务器在运行.他们的系统在90年代就实现了统一的身份认证,具体情况可参考[1].
> [1] http://www.usenix.org/publications/library/proceedings/lisa95/gittler.html
是可以,不过没有必要,因为各个节点间网络不一定好,服务器非常分散,而且压力很大,经常会重装系统,并且经常会撤点或者加点,这样那部分服务器就要格掉或者初始化。

Liang Guo

unread,
Feb 17, 2011, 11:06:09 AM2/17/11
to hz...@googlegroups.com
2011/2/17 夏凯 <walk...@gmail.com>:

> 2011/2/17 Liang Guo <bluesto...@gmail.com>:
>> 那个环境不是这样呢? 如果只有几台,几十台机器,集中认证反倒没有必要。
>> 只要服务器通过网络连起来了, 就可以实现统一的认证管理。 使用统一的身份认证及其他管理系统, 硬件架构并未做太大改变,
>> 而单个管理员能够管理的服务器会大大提高, 和分散的认证的方式相比, 成本反而会更低.
>> 我服务的一个客户在全球有多个数据中心,数百个办公室,在一个数据中心就有上万台Linux服务器在运行.他们的系统在90年代就实现了统一的身份认证,具体情况可参考[1].
>> [1] http://www.usenix.org/publications/library/proceedings/lisa95/gittler.html
> 是可以,不过没有必要,因为各个节点间网络不一定好,服务器非常分散,而且压力很大,经常会重装系统,并且经常会撤点或者加点,这样那部分服务器就要格掉或者初始化。
你们手工重装系统么? 那样工作量会很大哦

kernel

unread,
Feb 17, 2011, 3:47:04 PM2/17/11
to hz...@googlegroups.com
禁止root使用密码登录,但是可以通过public key的方式登录更好

/etc/ssh/sshd_config 里面改成

PermitRootLogin without-password

即可
Easy things should be easy, hard things should at least be possible.
Powered by Gentoo Linux

夏凯

unread,
Feb 17, 2011, 6:26:27 PM2/17/11
to hz...@googlegroups.com
这个我不清楚,不是我们部门负责的。

> --
> 欢迎来到杭州Linux用户组邮件列表
> 要在列表里发起一个帖子(专业术语叫线索,thread) 发送邮件到 hz...@googlegroups.com
> 如要退订: 请发送空邮件至 hzlug+un...@googlegroups.com
> 详情请看: http://groups.google.com/group/hzlug?hl=zh-CN
>

--
从我的移动设备发送

contact me:
MSN: walk...@gmail.com
GTALK: walk...@gmail.com

夏凯

unread,
Feb 17, 2011, 6:32:31 PM2/17/11
to hz...@googlegroups.com
跳板机到服务器是专门工具,没法使用ssh的常用功能,连ssh g.cn ls都没法用。

在 2011-02-18,kernel<firefox...@gmail.com> 写道:
> 禁止root使用密码登录,但是可以通过public key的方式登录更好
>
> /etc/ssh/sshd_config 里面改成
>
> PermitRootLogin without-password
>
> 即可
>

> 2011/2/16 王焱 <wangy...@gmail.com>

Reply all
Reply to author
Forward
0 new messages