rootkit是一種惡意軟件����,通常和木馬等其他惡意程序一起結(jié)合使用,而Linux是其重要的攻擊對(duì)象��,那么Linux被rootkit攻擊后該怎么辦呢?下面小編就給大家介紹下Linux服務(wù)器被rootkit攻擊后該如何處理�。
IT行業(yè)發(fā)展到現(xiàn)在,安全問(wèn)題已經(jīng)變得至關(guān)重要�����,從最近的“棱鏡門”事件中,折射出了很多安全問(wèn)題���,信息安全問(wèn)題已變得刻不容緩���,而做為運(yùn)維人員���,就必須了解一些安全運(yùn)維準(zhǔn)則��,同時(shí)�,要保護(hù)自己所負(fù)責(zé)的業(yè)務(wù)��,首先要站在攻擊者的角度思考問(wèn)題,修補(bǔ)任何潛在的威脅和漏洞����。
下面通過(guò)一個(gè)案例介紹下當(dāng)一個(gè)服務(wù)器被rootkit入侵后的處理思路和處理過(guò)程�,rootkit攻擊是Linux系統(tǒng)下最常見(jiàn)的攻擊手段和攻擊方式�����。
1、受攻擊現(xiàn)象
這是一臺(tái)客戶的門戶網(wǎng)站服務(wù)器��,托管在電信機(jī)房�,客戶接到電信的通知:由于此服務(wù)器持續(xù)對(duì)外發(fā)送數(shù)據(jù)包,導(dǎo)致100M帶寬耗盡,于是電信就切斷了此服務(wù)器的網(wǎng)絡(luò)�。此服務(wù)器是Centos5.5版本,對(duì)外開放了80��、22端口��。
從客戶那里了解到�,網(wǎng)站的訪問(wèn)量并不大�,所以帶寬占用也不會(huì)太高��,而耗盡100M的帶寬是絕對(duì)不可能的���,那么極有可能是服務(wù)器遭受了流量攻擊,于是登錄服務(wù)器做詳細(xì)的檢測(cè)����。
2��、初步分析
在電信人員的配合下通過(guò)交換機(jī)對(duì)該服務(wù)器的網(wǎng)絡(luò)流量進(jìn)行了檢測(cè)����,發(fā)現(xiàn)該主機(jī)確實(shí)存在對(duì)外80端口的掃描流量��,于是登錄系統(tǒng)通過(guò)“netstat –an”命令對(duì)系統(tǒng)開啟的端口進(jìn)行檢查��,可奇怪的是���,沒(méi)有發(fā)現(xiàn)任何與80端口相關(guān)的網(wǎng)絡(luò)連接��。接著使用“ps –ef”��、“top”等命令也沒(méi)有發(fā)現(xiàn)任何可疑的進(jìn)程���。于是懷疑系統(tǒng)是否被植入了rootkit。
為了證明系統(tǒng)是否被植入了rootkit��,我們將網(wǎng)站服務(wù)器下的ps�����、top等命令與之前備份的同版本可信操作系統(tǒng)命令做了md5sum校驗(yàn),結(jié)果發(fā)現(xiàn)網(wǎng)站服務(wù)器下的這兩個(gè)命令確實(shí)被修改過(guò)�����,由此斷定��,此服務(wù)器已經(jīng)被入侵并且安裝了rootkit級(jí)別的后門程序��。
3��、斷網(wǎng)分析系統(tǒng)
由于服務(wù)器不停向外發(fā)包��,因此�����,首先要做的就是將此服務(wù)器斷開網(wǎng)絡(luò),然后分析系統(tǒng)日志�����,尋找攻擊源��。但是系統(tǒng)命令已經(jīng)被替換掉了���,如果繼續(xù)在該系統(tǒng)上執(zhí)行操作將變得不可信�����,這里可以通過(guò)兩種方法來(lái)避免這種情況,第一種方法是將此服務(wù)器的硬盤取下來(lái)掛載到另外一臺(tái)安全的主機(jī)上進(jìn)行分析�,另一種方式就是從一個(gè)同版本可信操作系統(tǒng)下拷貝所有命令到這個(gè)入侵服務(wù)器下某個(gè)路徑�,然后在執(zhí)行命令的時(shí)候指定此命令的完整路徑即可���,這里采用第二種方法�����。
我們首先查看了系統(tǒng)的登錄日志��,查看是否有可疑登錄信息����,執(zhí)行如下命令:
more /var/log/secure |grep Accepted
通過(guò)對(duì)命令輸出的查看,有一條日志引起了我們的懷疑:
Oct 3 03:10:25 webserver sshd[20701]: Accepted password for mail from 62.17.163.186 port 53349 ssh2
這條日志顯示在10月3號(hào)的凌晨3點(diǎn)10分����,有個(gè)mail帳號(hào)從62.17.163.186這個(gè)IP成功登錄了系統(tǒng),mail是系統(tǒng)的內(nèi)置帳號(hào)�����,默認(rèn)情況下是無(wú)法執(zhí)行登錄操作的��,而62.17.163.186這個(gè)IP�,經(jīng)過(guò)查證���,是來(lái)自愛(ài)爾蘭的一個(gè)地址。從mail帳號(hào)登錄的時(shí)間來(lái)看�����,早于此網(wǎng)站服務(wù)器遭受攻擊的時(shí)間�����。
接著查看一下系統(tǒng)密碼文件/etc/shadow,又發(fā)現(xiàn)可疑信息:
mail:$1$kCEd3yD6$W1evaY5BMPQIqfTwTVJiX1:15400:0:99999:7:::
很明顯���,mail帳號(hào)已經(jīng)被設(shè)置了密碼���,并且被修改為可遠(yuǎn)程登錄����,之所以使用mail帳號(hào)���,猜想可能是因?yàn)槿肭终呦肓粝乱粋€(gè)隱蔽的帳號(hào)�,以方便日后再次登錄系統(tǒng)。
然后繼續(xù)查看其他系統(tǒng)日志����,如/var/log/messages、/var/log/wtmp均為空文件��,可見(jiàn)���,入侵者已經(jīng)清理了系統(tǒng)日志文件��,至于為何沒(méi)有清空/var/log/secure文件��,就不得而知了��。
4、尋找攻擊源
到目前為止���,我們所知道的情況是,有個(gè)mail帳號(hào)曾經(jīng)登錄過(guò)系統(tǒng)��,但是為何會(huì)導(dǎo)致此網(wǎng)站服務(wù)器持續(xù)對(duì)外發(fā)送數(shù)據(jù)包呢�����?必須要找到對(duì)應(yīng)的攻擊源��,通過(guò)替換到此服務(wù)器上的ps命令查看系統(tǒng)目前運(yùn)行的進(jìn)程����,又發(fā)現(xiàn)了新的可疑:
nobody 22765 1 6 Sep29 ����? 4-00:11:58 .t
這個(gè).t程序是什么呢����,繼續(xù)執(zhí)行top命令��,結(jié)果如下:
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
22765 nobody 15 0 1740m 1362m 1228 S 98.3 91.5 2892:19 .t
從輸出可知��,這個(gè)t程序已經(jīng)運(yùn)行了4天左右�,運(yùn)行這個(gè)程序的是nobody用戶��,并且這個(gè)t程序消耗了大量的內(nèi)存和cpu��,這也是之前客戶反映的網(wǎng)站服務(wù)器異常緩慢的原因��,從這個(gè)輸出,我們得到了t程序的進(jìn)程PID為22765�����,接下來(lái)根據(jù)PID查找下執(zhí)行程序的路徑在哪里:
進(jìn)入內(nèi)存目錄�����,查看對(duì)應(yīng)PID目錄下exe文件的信息:
?����。踨oot@webserver ~]# /mnt/bin/ls -al /proc/22765/exe
lrwxrwxrwx 1 root root 0 Sep 29 22:09 /proc/22765/exe -》 /var/tmp/…/apa/t
這樣就找到了進(jìn)程對(duì)應(yīng)的完整程序執(zhí)行路徑,這個(gè)路徑很隱蔽���,由于/var/tmp目錄默認(rèn)情況下任何用戶可讀性��,而入侵者就是利用這個(gè)漏洞在/var/tmp目錄下創(chuàng)建了一個(gè)“…”的目錄�����,而在這個(gè)目錄下隱藏著攻擊的程序源���,進(jìn)入/var/tmp/…/目錄,發(fā)現(xiàn)了一些列入侵者放置的rootkit文件���,列表如下:
?�。踨oot@webserver ����。��。.]#/mnt/bin/ls -al
drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 apa
-rw-r--r-- 1 nobody nobody 0 Sep 29 22:09 apa.tgz
drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 caca
drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 haha
-rw-r--r-- 1 nobody nobody 0Sep 29 22:10 kk.tar.gz-
rwxr-xr-x 1 nobody nobody 0 Sep 29 22:10 login
-rw-r--r-- 1 nobody nobody 0 Sep 29 22:10 login.tgz
-rwxr-xr-x 1 nobody nobody 0 Sep 29 22:10 z
通過(guò)對(duì)這些文件的分析����,基本判斷這就是我們要找的程序攻擊源��,其中:
1)��、z程序是用來(lái)清除系統(tǒng)日志等相關(guān)信息的,例如執(zhí)行:
��。/z 62.17.163.186
這條命令執(zhí)行后��,系統(tǒng)中所有與62.17.163.186有關(guān)的日志將全部被清除掉����。
2)、在apa目錄下有個(gè)后門程序t����,這個(gè)就是之前在系統(tǒng)中看到的,運(yùn)行此程序后�,此程序會(huì)自動(dòng)去讀apa目錄下的ip這個(gè)文件,而ip這個(gè)文件記錄了各種ip地址信息��,猜想這個(gè)t程序應(yīng)該是去掃描ip文件中記錄的所有ip信息��,進(jìn)而獲取遠(yuǎn)程主機(jī)的權(quán)限���,可見(jiàn)這個(gè)網(wǎng)站服務(wù)器已經(jīng)是入侵者的一個(gè)肉雞了�����。
3)�����、haha目錄里面放置的就是用來(lái)替換系統(tǒng)相關(guān)命令的程序�����,也就是這個(gè)目錄下的程序使我們無(wú)法看到操作系統(tǒng)的異常情況����。
4)、login程序就是用來(lái)替換系統(tǒng)登錄程序的木馬程序��,此程序還可以記錄登錄帳號(hào)和密碼�����。
5����、查找攻擊原因
到這里為止��,服務(wù)器上遭受的攻擊已經(jīng)基本清晰了����,但是入侵者是如何侵入這臺(tái)服務(wù)器的呢����?這個(gè)問(wèn)題很重要,一定要找到入侵的根源�����,才能從根本上封堵漏洞��。
為了弄清楚入侵者是如何進(jìn)入服務(wù)器的���,需要了解下此服務(wù)器的軟件環(huán)境,這臺(tái)服務(wù)器是一個(gè)基于java的web服務(wù)器�����,安裝的軟件有apache2.0.63��、tomcat5.5,apache和tomcat之間通過(guò)mod_jk模塊進(jìn)行集成�����,apache對(duì)外開放80端口�����,由于tomcat沒(méi)有對(duì)外開放端口���,所以將問(wèn)題集中到apache上面�����。
通過(guò)查看apache的配置發(fā)現(xiàn)��,apache僅僅處理些靜態(tài)資源請(qǐng)求�,而網(wǎng)頁(yè)也以靜態(tài)頁(yè)面居多��,所以通過(guò)網(wǎng)頁(yè)方式入侵系統(tǒng)可能性不大����,既然漏洞可能來(lái)自于apache,那么嘗試查看apache日志��,也許能發(fā)現(xiàn)一些可疑的訪問(wèn)痕跡,通過(guò)查看access.log文件�����,發(fā)現(xiàn)了如下信息:
62.17.163.186 - - [29/Sep/2013:22:17:06 +0800] “GET http://www.xxx.com/cgi-bin/awstats.pl�����?configdir=|echo;echo;ps+-aux%00 HTTP/1.0” 200 12333 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.8.1) Gecko/20121010 Firefox/2.0”
62.17.163.186 - - [29/Sep/213:22:17:35 +0800] “GET http://www.xxx.com/cgi-bin/awstats.pl���?configdir=|echo;echo;cd+/var/tmp/���。。./haha;ls+-a%00 HTTP/1.0” 200 1626 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.8.1) Gecko/20121010 Firefox/2.0”
至此�����,發(fā)現(xiàn)了漏洞的根源�,原來(lái)是awstats.pl腳本中configdir的一個(gè)漏洞���,通過(guò)了解此服務(wù)器的應(yīng)用�,客戶確實(shí)是通過(guò)一個(gè)Awstats的開源插件來(lái)做網(wǎng)頁(yè)訪問(wèn)統(tǒng)計(jì)�,通過(guò)這個(gè)漏洞,攻擊者可以直接在瀏覽器上操作服務(wù)器,例如查看進(jìn)程���、創(chuàng)建目錄等����。通過(guò)上面第二條日志可以看出�����,攻擊者正常瀏覽器執(zhí)行切換到/var/tmp/�����。�����。./haha目錄的操作��。
這個(gè)腳本漏洞挺可怕的��,不過(guò)在Awstats官網(wǎng)也早已給出了修補(bǔ)的方法����,對(duì)于這個(gè)漏洞�����,修復(fù)方法很簡(jiǎn)單�����,打開awstats.pl文件�,找到如下信息:
if ($QueryString =~ /configdir=([^]+)/i)
{
$DirConfig=DecodeEncodedString(“$1”);
}
修改為如下即可:
if ($QueryString =~ /configdir=([^]+)/i)
{
$DirConfig=DecodeEncodedString(“$1”);
$DirConfig=~tr/a-z0-9_\-\/\�����。/a-z0-9_\-\/\���。/cd;
}
6���、揭開謎團(tuán)
通過(guò)上面逐步分析和介紹,此服務(wù)遭受入侵的原因和過(guò)程已經(jīng)非常清楚了���,大致過(guò)程如下:
(1)攻擊者通過(guò)Awstats腳本awstats.pl文件的漏洞進(jìn)入了系統(tǒng)�,在/var/tmp目錄下創(chuàng)建了隱藏目錄,然后將rootkit后門文件傳到這個(gè)路徑下���。
?。?)攻擊者通過(guò)植入后門程序,獲取了系統(tǒng)超級(jí)用戶權(quán)限�,進(jìn)而控制了這臺(tái)服務(wù)器,通過(guò)這臺(tái)服務(wù)器向外發(fā)包�����。
?�。?)攻擊者的IP地址62.17.163.186可能是通過(guò)代理過(guò)來(lái)的����,也可能是攻擊者控制的其他肉雞服務(wù)器。
?。?)攻擊者為了永久控制這臺(tái)機(jī)器,修改了系統(tǒng)默認(rèn)帳號(hào)mail的信息�,將mail帳號(hào)變?yōu)榭傻卿洠⑶以O(shè)置了mail帳號(hào)的密碼�。
(5)攻擊者在完成攻擊后�,通過(guò)后門程序自動(dòng)清理了系統(tǒng)訪問(wèn)日志,毀滅了證據(jù)���。
通過(guò)對(duì)這個(gè)入侵過(guò)程的分析����,發(fā)現(xiàn)入侵者的手段還是非常簡(jiǎn)單和普遍的,雖然入侵者刪除了系統(tǒng)的一些日志����,但是還是留下了很多可查的蹤跡,其實(shí)還可以查看用戶下的.bash_history文件���,這個(gè)文件是用戶操作命令的歷史記錄����。
7����、如何恢復(fù)網(wǎng)站
由于系統(tǒng)已經(jīng)文件被更改和替換,此系統(tǒng)已經(jīng)變得完全不可信�,因此建議備份網(wǎng)站數(shù)據(jù),重新安裝系統(tǒng)���,基本步驟如下:
?����。?)安裝穩(wěn)定版本的操作系統(tǒng)��,刪除系統(tǒng)默認(rèn)的并且不需要的用戶�����。
?。?)系統(tǒng)登錄方式改為公鑰認(rèn)證方式��,避開密碼認(rèn)證的缺陷����。
(3)安裝更高版本的apache和最新穩(wěn)定版本的Awstats程序�����。
?�。?)使用Linux下的Tcp_Wrappers防火墻��,限制ssh登錄的源地址��。
上面就是Linux服務(wù)器被rootkit攻擊后的處理方法�,你要先對(duì)服務(wù)器進(jìn)行分析,確實(shí)是否是rootkit攻擊所致�,然后再根據(jù)具體情況進(jìn)行恢復(fù)����。
